© ARGE DATEN 2015
Datenschutz ÜberblickGrundlagen und Erfahrungen
Hans G. Zeger, ARGE DATENUrstein, FH Salzburg Inhouse Schulung, 27./28. Mai 2015
ARGE DATEN
© ARGE DATEN 2015
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATENÖffentlichkeitsarbeit, Informationsdienst:
- Web-Service: 60-80.000 Besucher/Monat- Newsletter: rund 4.500 Abonnenten- 2014: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2014: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und BeratungsprojekteA-CERT - Zertifizierungsdienstleister gem. SigG
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.
© ARGE DATEN 2015ARGE DATEN
Grundlagen DSG 2000
Videoüberwachung / Spezialregelungen
Genehmigung / Registrierung
Informationspflichten & Betroffenenrechte
Geplanter Ablauf
Sicherheit / Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Grundlagen des DSG 2000
Die wichtigsten Begriffe
Zustimmung
Zulässigkeit der Datenverwendung
© ARGE DATEN 2015
Umsetzung der EU-Richtlinie "Datenschutz" (1995)soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichernArt. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."
Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische PositionBestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten
DSG 2000 - Grundlagen
ARGE DATEN
© ARGE DATEN 2015
Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen/Dritter
DSG 2000 - Grundrecht
DSG 2000 § 1 (Verfassungsbestimmung):"jede Verwendung persönlicher Daten ist verboten"
umfassender GeheimhaltungsanspruchEuroparechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)
ARGE DATEN
Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen/Dritter
© ARGE DATEN 2015ARGE DATEN
DSG 2000 § 4 Z 1 "personenbezogene Daten""Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
DSG 2000 § 4 Z 3 "Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"
DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"
DSG 2000 - Grundlagen
Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,
technische Kennzahlen (z.B. Stromverbrauchsdaten,
KFZ-Daten, IP-Adressen, ), ...
© ARGE DATEN 2015
Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)personenbezogene Daten § 4 Z 1 DSG 2000
ARGE DATEN
DSG 2000 - Grundlagen
Personenbezogene Daten
sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten
§ 4 Z 2 DSG 2000
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 2 ("sensible" Daten)Daten natürlicher Personen über
rassische und ethnische Herkunftpolitische MeinungGewerkschaftszugehörigkeitreligiöse und philosophische ÜberzeugungGesundheitSexualleben
Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch",
Konfektionsgröße, SozialberatungErhebungs"absicht" (Zweck) wesentliche
Komponente bei der Bewertung ob sensibles Datum
© ARGE DATEN 2015ARGE DATEN
DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)
DSG 2000 - Grundlagen
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten""jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 14 "Zustimmung""die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"Widerruf der Zustimmung in § 8 bzw. § 9 geregeltEntscheidung OGH 4 Ob 221/06p ("GE ...bank")OGH 4 Ob 28/01y ("Creditanstalt")OGH 4 Ob 179/02f ("BA-CA")
Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen
ausVon der Zustimmung iS DSG 2000 § 4 Z 14 sind
andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ...
© ARGE DATEN 2015
Verwenden von Daten
Z 8
Übermitteln Verarbeiten
Z 9
Z 12
Daten-anwendun
gZ 7
Auftraggeber
Z 4
Dienstleister
Z 5
AuftragÜberlassen
Z 11Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...
DSG 2000 - Grundlagen
Die wichtigsten Begriffe (§ 4 DSG Z ...)
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4)
DSK 120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren
© ARGE DATEN 2015ARGE DATEN
Welche Daten dürfen Behörden (öffentlich-rechtliche Einrichtungen) verwenden?
- auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen
- zur Vollziehung eines Gesetzes unbedingt erforderlich- im Rahmen privatwirtschaftlicher Dienste
DSK K120.515/9-DSK/96 ("Dekanat")- Dekanat gibt Daten wie Aufnahmedatum,
Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter
- unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat
- Gefahr der Beeinflussung des Prüfers
Zwecke und Geschäftsbereiche
© ARGE DATEN 2015
Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten)
Wann dürfen Daten jedenfalls verwendet werden? (Auszug)
- Rechtsgrundlage / gesetzliche Verpflichtungen- Zustimmung des Betroffenen- zur Wahrung lebenswichtiger Interessen- überwiegende Interessen Dritter / Auftraggeber
(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit
- indirekt personenbezogene Daten (EU-Konformität??)- zulässig veröffentliche Daten:
soweit berechtigter Zweck des Verwenders gegeben?soweit mit ursprünglicher Veröffentlichung vereinbar?
DSG 2000 - Grundlagen
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Was ist eine zulässige Veröffentlichung?Veröffentlichen von Informationen
- ist im DSG 2000 Spezialfall der Datenübermittlung- die Veröffentlichung muss rechtlich zulässig sein
Beispiele für bedenkliche Veröffentlichungen:- Altersjubilare in der Gemeindezeitung genannt- Daten von Privathaushalten in einer Tourismusbroschüre
angegeben (Kaprun)- öffentliche Ehrentafel aller eingemeindeten Bürger- Teilnehmerlisten von Kongressen/Seminaren- Klassenbilder im Schuljahresbericht- Veröffentlichen von lokalen (Amateur-)Sportergebnissen
mit Name, Adresse und Geburtsdatum im Internet- Zusammenstellung persönlicher Daten durch
(Personen-)Suchmaschinen
DSG 2000 - Veröffentlichung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung
Informationsverbundsystem
Verständigung / Adressenverlage
Besondere Bestimmungen
Wissenschaft und Forschung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Hintergrund(DSG 2000 § 50a ff)
- keine offiziellen Statistiken über Umfang der Videoüberwachung in Österreich (Schätzung: 50-100.000 Standorte mit 300.000 - 1.000.000 Kameras)
- keine Zahlen im staatlichen oder staatsnahen Bereich vorhanden
- staatliche Videoüberwachung teilweise in SPG ("Gefahrenabwehr") und StPO ("Lauschangriff") geregelt
- sonstige Videoüberwachungen sind personenbezogene Datenaufzeichnung und Teil des DSG 2000 ("bestimmbare" Personen)
- spezifisches Problem: es werden vorrangig Personen erfasst, die NICHT unter den Aufzeichnungszweck fallen
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Definition(DSG 2000 § 50a Abs 1)Videoüberwachung ist definiert durch:
- systematische und fortlaufende Feststellung von Ereignissen
- betreffen bestimmte/überwachte Objekte oder Personen
- Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte
Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung!
- einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen")
- einzelne Aufnahmen aus fahrenden Autos heraus- Überwachung ohne identifizierende Absicht (technische
Überwachungen, "Panoramakameras", "Hirsch-TV") fallen nicht unter die Definition der Videoüberwachung Empfehlung DSK K212.780/0004-DSK/2013 "Wetter-TV" DSB-Meldemuster "Baustellenkamera"
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - zulässiger Einsatz I(DSG 2000 § 50a Abs. 3)
- im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation, ...??]
- Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung, ...??]
- Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3)
Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor!
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - zulässiger Einsatz IIa(DSG 2000 § 50a Abs. 4, 5)- berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen und -plätze, Rechenzentren,weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten]
- Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten, ...]
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - zulässiger Einsatz IIb(DSG 2000 § 50a Abs. 4, 5)
- bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen]
Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3:- keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??]
- nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle]
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde")(DSG 2000 § 50a Abs. 6)
- an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen]
- an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit]
- Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a]
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Verwertungsverbote(DSG 2000 § 50a Abs. 7)
- Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face-Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern]
- kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht, ...]
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Regeln zur Verwendung der Daten(DSG 2000 § 50b)
- Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1)[Erweiterung der Protokollpflicht des § 14 DSG 2000][zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus]
- nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschenLängere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2)
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Meldepflicht I(DSG 2000 § 50c)Abgestufte Meldepflicht
- keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!]
- keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2)
- vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSB (Abs. 1)
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Meldepflicht II(DSG 2000 § 50c)
- alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2)
Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3)
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Videoüberwachung - Kennzeichnungspflicht(DSG 2000 § 50d)
- jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige]
- der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1)
- Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1)
- keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)]
DSG 2000 - Videoüberwachung
© ARGE DATEN 2015ARGE DATEN
Was ist ein Informationsverbundsystem (IVS)? (§ 50)
gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggebergeeigneter Betreiber ist zu bestellenBetreiber ist zwecks Eintrag im DVR zu meldenBetreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)es können weitere Auftraggeberpflichten an den Betreiber abgetreten werdenMeldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Registrierung von Warndateien bei BankenDSK K095.014/021-DSK/2001
erging ursprünglich an vier Banken "Musterbescheid"Genehmigung mit Auflagen erteilt I
Eintragung von Kunden nur zulässig bei - vertragswidrig ausgestellten Schecks- vertragswidrig genutzter Bankomat- oder Kreditkarte- Aufkündigung einer Kontoverbindung +- Fälligstellung eines Kredits +- Einleitung der Rechtsverfolgung ++ Forderung übersteigt 1.000 EUR
Informationspflicht des Betroffenen VOR EintragungGrund der Warneintragung ist Betroffenen bekannt zu geben
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II
Bekanntgabe der Durchsetzung der Betroffenenrechteunverzügliche Eintragung begründeter Bestreitung derForderung ist vorzusehenvollständige Bezahlung der Forderung ist unverzüglich einzutragenbei unbegründeter Forderung ist unverzügliche LöschungvorzunehmenLöschung nach 3 Jahren nach vollständiger Bezahlung derSchuld, ansonsten nach 7 Jahren nach Tilgung der SchuldÜberprüfung der Richtigkeit muss mindestens einmal jährlich erfolgen
Analog DSK-Bescheid K600.033-018/0002-DVR/2007 zur Konsumentenkreditevidenz (KKE)
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Verwendung von Daten für Wissenschaftund Forschung (§ 46)
- Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind
- effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend
Folgende Daten dürfen verwendet werden:- öffentlich zugängliche Daten (Abs. 1 Z 1)- Daten, die der Auftraggeber zu anderen Zwecken
ermittelt hat (Abs. 1 Z 2)- indirekt personenbezogene Daten (Abs. 1 Z 3)- gemäss gesetzlicher Vorschriften (Abs. 2 Z 1)- mit Zustimmung des Betroffenen (Abs. 2 Z 2)- Weitere Verwendungsmöglichkeit mit Genehmigung der
DSB (Abs. 2 Z 3)
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Verwendung von Daten für Wissenschaftund Forschung (§ 46) IIDSK K202.010/002-DSK/2001 ("öffentliches Interesse")
von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse
DSK K202.034/003-DSK/2003 ("Leiharbeit und Neue Selbständige")
Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt
DSK K202.028/006-DSK/2003 ("Suizidforschung")Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK/DSB
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Sonderbestimmungen zu Adressenverlagen / Werbung
- § 151 GewO1994 ("Listenprivileg" der Adressenverlage)- § 107 TKG 2003 (Werbeverbot Telefon/Fax/e-mail/SMS)
GewO-Bestimmung ist Weitergabeermächtigung- Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte
Daten ohne Zustimmung des Betroffenen weitergeben- auf Widerspruchsmöglichkeit muss hingewiesen werden- zulässige Datenarten: Namen, Geschlecht, Titel, akademischer
Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei
- gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten!
- Löschungsanspruch gegenüber gewerblichen Adressenverlagen!
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015
Unerbetene NachrichtenKommunikations-Datenschutzrichtlinie 2002/58/EG Art.13
- RL sieht Opt-In bei Werbung vor- umfasst automatische Anrufsysteme ohne menschlichen Eingriff
(automatische Anrufmaschinen), Faxgeräte, elektronische Post- Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte- trifft keine Aussage zu eMail-Massensendungen oder "normalen"
Telefonanrufen
Komplexe Regelung in TKG 2003 § 107 - sieht ebenfalls Opt-In für Werbung vor- umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl.
SMS- Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte,
jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten- bei elektronischer Post & SMS zusätzlich jede Massensendungen
verboten- zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa
Meinungsbefragung
TKG 2003 - Datenschutzbestimmungen
© ARGE DATEN 2015
TKG 2003 - DatenschutzbestimmungenUnerbetene Nachrichten IIRegelung in TKG 2003 § 107
- Identität des Absenders muss offen gelegt werden- Möglichkeit zur Einstellung der Zusendungen muss angeboten werden- bei erlaubten Werbeanrufen, darf
Anrufnummer weder unterdrückt, noch verfälscht sein,ECG-Bestimmungen nicht verletzt werden,nicht zum Besuch ECG-widriger Webseiten aufgefordert werden
- Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis 37.000 Euro bei Spam, 58.000 bei Anrufen), 2012 (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro
- Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht
Sonstige Maßnahmen gegen Spam- anwaltliche Abmahnungen: Unterlassungsanspruch- Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch!
Gefahr des Eingriffs in KommunikationRegelung gilt für alle, nicht nur Betreiber!
© ARGE DATEN 2015ARGE DATEN
Besondere Dienstleisterverpflichtungen
Registrierung von Datenanwendungen
Kontrollbefugnisse DSB
Genehmigung / Registrierung
Safe Harbour
Internationaler Datenverkehr
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle(DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10)bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB
- DA's die sensible Daten verwenden- DA's die in Form eines Informationsverbundsystems
betrieben werden- registrierungspflichtige Videoüberwachungen- DA's die Daten zur Beurteilung der Kreditwürdigkeit
dienen bzw. strafrechtlich relevante Daten verarbeiten
Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglichAuflagen zum Betrieb der Datenanwendung können erteilt werden
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Dienstleister
Dienstleister im Sinne des DSG 2000 (§§ 10f)- Dienstleistung liegt vor, wenn ein Verantwortlicher
jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut
- Geeignete Vereinbarungen sind zu treffen- Vereinbarungen sind zu überprüfen/überwachen
["überzeugen"] wie bei Cloud-Computing umsetzen?- Meldepflicht an DSB bei Datenverarbeitungen des
öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen
- Subdienstleister nur mit Billigung des Auftraggebers
Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
© ARGE DATEN 2015
Was ist Cloud-Computing?- technisch: Nutzung fremder IT-Infrastruktur in verschiedenen Ausformungen: IaaS, PaaS, SaaS, public, private oder hybride Cloud
- im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten Auftraggeber bleibt verantwortlich, egal
wie die Cloud-Lösung organisiert ist, auch bei Heranziehung von
Sub- und Sub-Sub-Dienstleistern
IT-Sicherheit, DSG 2000 und Cloud-Computing
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Registrierung von Datenanwendungen (§§ 16ff)
- Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17)
- Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17)
- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21)
- Registrierung ist kostenlos (§ 53)- Registrierung soll Transparenz sichern (§ 16)- Jedermann kann Einsicht in Registrierung nehmen (§ 16)- Vereinfachte Registrierung bei Muster-Datenanwendungen
(§ 19)
DSG 2000 - Registrierung und Genehmigung
© ARGE DATEN 2015ARGE DATEN
Registrierungsfreiheit (§ 17)
- Standardanwendungen- DA enthält ausschließlich (!) veröffentlichte Daten
(typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich
vorgesehener Register- ausschließlich indirekt personenbezogene Daten- persönliche Datenanwendungen- publizistische Datenanwendungen- manuelle Datenanwendungen, die nicht der
Vorabkontrolle unterliegen- bestimmte DA‘s der Republik Österreich- DA für Zwecke der Strafverfolgung
DSG 2000 - Registrierung und Genehmigung
© ARGE DATEN 2015ARGE DATEN
Registrierungsverfahren (seit 1.9.2012)(DSG 2000 § 17 Abs. 1a)
- Meldungen haben über Internetanwendung zu erfolgen
- Authentifizierung erfolgt durch Bürgerkarte, Handy-Signatur oder USP
- eMail-Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich
- Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt
(DSG 2000 § 19 Abs. 3a)- Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt
DSG 2000 - Registrierung
© ARGE DATEN 2015ARGE DATEN
Registrierungsverfahren II(DSG 2000 § 19 Abs. 2)
- Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa auch für reinen Testbetrieb]
- Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein
Die Prüf- und Verbesserungsbestimmungen §§ 20-22 DSG 2000 wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu.
DSG 2000 - Registrierung
© ARGE DATEN 2015ARGE DATEN
Registrierungsverfahren III(DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren")
- nicht vorabkontrollpflichtige Datenanwendungen sind nur mehr automationsunterstützt auf Vollständigkeit und Plausibilität zu prüfen (Abs. 1)
- bei formalen Fehlern Möglichkeit der Verbesserung, wenn diese nicht erfolgen, gilt Meldung als nicht eingebracht (Abs. 2)
- Vorabkontrollpflichtige Datenanwendungen und jene die nicht mittels Internetanwendung eingebracht wurden, sind binnen zwei Monaten auf Mangelhaftigkeit nach § 19 Abs. 4 zu prüfen, allenfalls ist Verbesserungsauftrag zu erteilen (Abs. 3)
- Verbesserungsauftrag hemmt Registrierungsverfahren (es gelten die Fristen nach AVG)
DSG 2000 - Registrierung
© ARGE DATEN 2015ARGE DATEN
Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungsfreiheit (EU: "Datenexport")
- innergemeinschaftlicher Datenverkehr- gleichwertige Datenschutzgesetzgebung- im Inland zulässigerweise veröffentlichte Daten- notwendige Grundlage zur Vertragserfüllung mit
Betroffenen- persönliche oder publizistische DA‘s- mit Zustimmung des Betroffenen- wenn Datenverkehr in Standard- und
Musteranwendungen vorgesehen- bei Akten und Dokumenten (Entscheidung DSK
K178.074/13-DSK/00 "gegenseitige Information zu Waffenexporten")
- Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!)
DSG 2000 - Internationaler Datenverkehr
© ARGE DATEN 2015ARGE DATEN
Genehmigungsfrei (weil gleichwertig)- gleichwertig auf Grund EWR-Verträge
Island, Norwegen, Liechtenstein- gleichwertig gem. Kommissionsentscheidung
Schweiz (27.7.2000), Kanada (15.1.2002), Argentinien (30.6.2003), Israel (31.1.2011), Uruguay (23.8.2012), Neuseeland (30.1.2013)+ Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey
- USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen)
bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern
DSG 2000 - Internationaler Datenverkehr
© ARGE DATEN 2015ARGE DATEN
Internationaler Datenverkehr II (§§ 12, 13, 55)Genehmigungspflichtin allen anderen Fällen besteht Genehmigungspflicht (§ 13)die Genehmigung hat die DSB zu erteilen:
- die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2)
- im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen]
- Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2)
- Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2)
- seit 1.1.2003 sind vor 1.1.2000 erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich)
DSG 2000 - Internationaler Datenverkehr
© ARGE DATEN 2015ARGE DATEN
Datenschutzaufsicht (§§ 35-40)bis 31.12.2013: Datenschutzkommission (DSK) - Oberste Kontrollbehörde [jedoch nicht für alle Bereiche]- als "unabhängige" Instanz eingerichtet (Form eines
Tribunals)- 6 Mitglieder + 6 Ersatzmitglieder- Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt.
DSK-Bericht 2009), EU-Schnitt: 45 Personen!(Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere)
- EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert
ab 1.1.2014: Datenschutzbehörde (DSB)- Kontrollbehörde erster Instanz (Verwaltungseinrichtung)- Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des
"Bundesverwaltungsgericht"
DSG 2000 - Kontrollbestimmungen
© ARGE DATEN 2015ARGE DATEN
Informationspflichten & Betroffenenrechte
Recht auf Geheimhaltung (§ 1ff)
Recht auf Auskunft (§ 26)
Recht auf Berichtigung & Löschung (§ 27)
Informationspflicht (§ 24)
Recht auf Widerspruch (§ 28)
Recht auf Widerruf (§ 8, 9)
© ARGE DATEN 2015ARGE DATEN
Entscheidungen zu § 1 DSG 2000 DSK K121.337 / K210.380 ("Geburtsdatum")
Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht
DSK K121.805/0015-DSK/2012 ("Geburtstagsabfragen")
Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt.
OGH 11Os109/01 ("allgemeine Verfügbarkeit")Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde
DSG 2000 - Grundlagen
© ARGE DATEN 2015ARGE DATEN
Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)Informationspflicht anlässlich Ermittlung
ZweckAuftraggeber
Spätestens zum Zeitpunkt der ÜbermittlungEntfällt,
- bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder
- bei mangelnder Erreichbarkeit der Betroffenen oder- bei Unwahrscheinlichkeit der Beeinträchtigung der
Betroffenenrechte und Höhe der Kosten der Information
Informationspflicht ist "Bringschuld" des Auftraggebers!Bei Kundenbeziehungen leicht zu erfüllen, ein Problem
jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden
(z.B. Adressenverlagen / Informationsdiensten)
DSG 2000 - Informationspflicht
© ARGE DATEN 2015ARGE DATEN
Informationspflicht(DSG 2000 § 24 Abs. 2a)Betroffene sind von Datenschutzverletzungen zu informieren
- wenn schwerwiegend und systematisch- wenn Betroffenen Schaden droht- Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch"
Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich
reduziert wurde.
DSG 2000 - Informationspflicht
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Auskunft (§ 26) IAuskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]Auskunftsfrist sind 8 Wochen (Abs. 4)Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)
ungerechtfertigter Aufwand ist zu vermeidenAuskunftsrecht unabhängig
von Registrierungserfordernis [!!]von einem Vertragsverhältnisvon tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...)
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Auskunft (§ 26) IIAuftraggeber hat Auskunft zu erteilen über
Zweck der Datenanwendungdie verwendeten Daten in allgemein verständlicher Formverfügbare Information über ihre Herkunftallfällige Empfänger oder Empfängerkreise von ÜbermittlungenName und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden)
4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7)Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich DSK K121.514/0008-DSK/2009 Fax & E-Mail erfüllen Schriftform
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Auskunft (§ 26) IIIbegründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a.- Schikaneverbot: Betroffener wurden Daten schon
mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste
- überwiegende Interessen des Auftraggebers oder Dritter- aus therapeutischen Gründen (Gesundheitszustand)- formale Gründe: fehlender Identitätsnachweis, fehlender
Kostenersatz, fehlende Mitwirkung, ...
Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei
ansonsten tatsächliche Kosten oder pauschalierter Ersatz
Auskunftsrecht ist "Holschuld" des Betroffenen!
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
DSK K121.017/0009-DSK/2005 ("Prüfungsdaten")Ausgangslage
- Betroffener nahm an (Berufsqualifikations-)Prüfung teil- hatte umfangreiche Angaben zur Person zu machen- Test wurde negativ beurteilt- Einsicht in Beurteilung brachte schwere Mängel- Auskunft gem. DSG wurde verweigert, da diese nur
"persönliche Daten", aber nicht Leistungsdaten erfasseDSK-Entscheidung
- Auskunftsrecht wurde verletzt- Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist
zu erteilen- ausschließlich auf Papier angefertigte Fallbeispiele
unterliegen nicht der Auskunftspflicht- die persönlichen Daten des Prüfers sind nicht zu
beauskunften
DSG 2000 - Auskunftsrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Löschung/Richtigstellung (§ 27)
- grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen
- Betroffene können Richtigstellungsantrag stellen- Verpflichtung gilt auch für unvollständige Daten, veraltete
Daten, irreführende DatenBeweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim AuftraggeberJedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen
Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen,Location-Based-Services, Smartphone-App-Daten)
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Widerruf / Widerspruchfreiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9)
Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich
- Widerspruchsrecht besteht auch bei gegebener Zustimmung!
- in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen
- Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung
vom Widerspruch betroffene Daten sind zu löschen Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Entscheidungen WiderspruchOGH 6Ob195/08g
- Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos und unbegründet bei öffentlich zugänglichen Dateien möglich
- Wirtschaftsauskunftsdienste betreiben öffentliche Dateien
- Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet
siehe auch DSK K211.593/0011-DSK/2005- Widerspruch anwendbar im Zusammenhang mit
Wirtschaftsauskunftsdiensten- Widerspruch bedeutet auch das Verbot der
Bekanntgabe, dass der Datenverwendung widersprochen wurde
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Weitere Bestimmungen
Sicherheit
Schadenersatz
Strafbestimmungen DSG 2000
© ARGE DATEN 2015ARGE DATEN
IT-Sicherheit
Verhältnis von Datensicherheit (Safety+Security) und Datenschutz (Privacy)
Datensicherheit behandelt vorrangig technische FragenWelche Bedrohung? Was ist möglich?Im Zentrum stehen Abwehrszenarien
Datenschutz behandelt vorrangig (grund)rechtliche Fragen
Was ist erwünscht?Im Zentrum stehen Gestaltungsszenarien
Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz
PrivacyZugriffsschutz, Protokollierung,
Rechteverwaltung, Ausspähen von
Daten, Datenbeschädigun
g,Passwörter
Safety+SecurityGrundrechtliche Fragen ohne direkten IT-Bezug:
Zweckbindung, Melde- und Offenlegungspflichten,
infomationelle Selbstbestimmung
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Sicherheitsbestimmungen (§ 14)Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:
Stand der technischen Möglichkeiten entsprechendwirtschaftlich vertretbarangemessenes Schutzniveau muss erreicht werden
In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch,
das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 10/2014 gilt Version 4.0 des Informations-
Sicherheitshandbuch
Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften!
DSG 2000 - Sicherheitsbestimmungen
ARGE DATEN
© ARGE DATEN 2015ARGE DATENARGE DATEN
DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen
- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten
- Dokumentationspflicht zur Kontrolle und Beweissicherung
- ProtokollierungspflichtDie Maßnahmen können als Verpflichtung zu
einer Security-Policy verstanden werden!z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinieoder ISO 27001 InformationssicherheitsleitlinieBestimmungen können zu Unvereinbarkeitsregeln führen, z.B. Verbot der Personenidentität von IT-Admin und IT-Sicherheitsbeauftragten
© ARGE DATEN 2015ARGE DATENARGE DATEN
Protokollierungsanforderungen I (§ 14)Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)
Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)
betrifft auch Abfragenmüssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"
betrifft nur auskunftspflichtige DatenanwendungenÜbermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren
DSG 2000 - Sicherheitsbestimmungen
© ARGE DATEN 2015ARGE DATENARGE DATEN
DSG 2000 - Sicherheitsbestimmungen
Protokolldaten sind manipulationssicher "revisionssicher"aufzubewahren (z.B elektronisch signiert)
Protokollierungsanforderungen II (§ 14)- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)
- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Zugriffen!!)
- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind
- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen
- Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist
© ARGE DATEN 2015ARGE DATENARGE DATEN
DSG 2000 - Sicherheitsbestimmungen
Umsetzung ProtokollierungsanforderungenEmpfehlung für den öffentlichen Bereich: Common Audit Trail v1.0- regelt: Inhalt, Übermittlung und Auswertung der Protokolle- Aufbewahrungsdauer generell: 3 Jahre, bei Übermittlung zu Revissionszwecke: Löschung nach Abschluss der Revision- Inhalt: UTF-8 kodiert, lokale Uhrzeit (M=muss, K=kann)Anfragedatum & -zeit (M), Benutzerkennung (M) + Anwendername (K), Organisationseinheit (M), Applikationskennung (M), Verarbeitungsart (M), Bearbeitungsgrund (K), Transaktionskennzeichen (K), Abfrage/Ergebnis (K)
jedoch: Empfehlung enthält keine Regelung zur revisionssicheren Aufbewahrung
© ARGE DATEN 2015ARGE DATENARGE DATEN
DSG 2000 - Verschwiegenheitsverpflichtung
Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen.
Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6)
© ARGE DATEN 2015ARGE DATENARGE DATEN
Haftung bei fehlenden Weisungen zur DatensicherheitOGH Entscheidung (9 Ob A 182/90)
Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".
Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!
Sicherheitsmaßnahmen - Haftung
© ARGE DATEN 2015ARGE DATENARGE DATEN
Haftung bei bei DatenmissbrauchOGH Entscheidung (9 Ob 126/12s)Ausgangslage
Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort im Zuge der BUWOG-Causa in das interne System des Unternehmens P zu gelangen.Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden.Die Aktion führte zur fristlosen Entlassung des Mitarbeiters.
Unternehmen P verlangt UnterlassungsklageUnternehmen P verlangt weiters von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist.
Sicherheitsmaßnahmen - Haftung
© ARGE DATEN 2015ARGE DATENARGE DATEN
Sicherheitsmaßnahmen - Haftung
Haftung bei bei Datenmissbrauch IIOGH Entscheidung (9 Ob 126/12s)Entscheidung
HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen.
Eingriff in IT-System ist BesitzstörungEingriff war im Interesse der TZ AArbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegenZur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A
Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten
© ARGE DATEN 2015ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung- OGH 9ObA75/04a:
eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.
- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.
- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund
(un)zulässiger IT-Einsatz
© ARGE DATEN 2015ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung II- OGH 9 ObA 11/11z:
Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt
- LAG München 11 Sa 54/09:unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)
- DSK K213.137/0009-DSK/2012:Ein Kurzentrum möchte Video- und Tonaufzeichnungen nicht zur Mitarbeiterüberwachung, sondern zur "Qualitätssicherung installieren, Empfehlung der DSK: derartige Aufzeichnungen sind unzulässig
(un)zulässiger IT-Einsatz
© ARGE DATEN 2015ARGE DATENARGE DATEN
Datenschutz und personalisierte E-Mail-Postfächer
E-Mail-PostfächerAusgangslage
- Unternehmen richtet für jeden Mitarbeiter einen "persönlichen" E-Mail-Account im Format [email protected] ein
- Weiters existieren Funktionsadressen (support@, info@, office@), E-Mails an diese Funktionsadressen werden in der Regel an mehrere zuständige Mitarbeiter weiter geleitet
- Mitarbeiter werden angehalten unter den Funktionsadressen mit Kunden/Lieferanten zu korrespondieren, nur im Sonderfall unter der persönlichen Adresse
- Kunden/Lieferanten schreiben meist an irgendeine Adresse (persönliche oder Funktionsadresse), in vielen Fällen müssen die E-Mails betriebsintern erst richtig weitergeleitet werden
- zu einem späteren Zeitpunkt entschließt sich das Unternehmen die E-Mail-Account-Verwaltung an einen Dienstleister auszulagern
© ARGE DATEN 2015ARGE DATENARGE DATEN
Datenschutz und personalisierte E-Mail-Postfächer
E-Mail-Postfächer IIAusgangslage (Fortsetzung)
- Regelungen zur privaten E-Mail-Nutzung wurden nicht getroffen
- Die Geschäftsführung möchte in den persönlichen E-Mail-Account eines Mitarbeiters Einblick nehmen
Konsequenzen nach dem DSG 2000 ? arbeitsrechtliche Konsequenzen ? sonstige Konsequenzen ?
© ARGE DATEN 2015ARGE DATENARGE DATEN
Datenschutz und personalisierte E-Mail-Postfächer
E-Mail-Postfächer IIISchutz der E-Mail-Inhalte
- E-Mails fallen grundsätzlich unter DSG 2000, da Absender, Empfänger und oft auch im Inhalt Betroffene iS des DSG 2000 § 4 Z 3 sind
- E-Mails unterliegen zusätzlich dem Fernmeldegeheimnis (StGG Art. 10 a, 1.1.1975), Sanktionen bei Verletzung ist im StGB § 119 "Verletzung des Telekommunikationsgeheimnisses" geregelt: "(1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, ... ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen."
- Ergänzend regelt § 93 TKG 2003 die Geheimhaltungspflichten für Betreiber und Mitarbeiter des Betreibers und die Vorgangsweise aller Anwender für unbeabsichtigt empfangene Nachrichten
© ARGE DATEN 2015ARGE DATENARGE DATEN
Datenschutz und personalisierte E-Mail-Postfächer
E-Mail-Postfächer IVRechte der Geschäftsführung
- grundsätzlich besteht Einsichts- bzw. Zugriffsrecht auf alle E-Mails, die für den Betrieb (die Betriebsführung) erforderlich sind, jedoch eingeschränkt auf die betriebsinterne Organisationsordnung (Zuständigkeiten)
- StGB § 119 wird im Regelfall bei betrieblichen E-Mails nicht anwendbar sein, da der Empfänger im Regelfall nicht der bestimmte Mitarbeiter als Person, sondern als Organ des Unternehmens tätig ist (der Adressat das Unternehmen ist)
- dies gilt unabhängig von Funktions- oder Personen-Adresse- die pauschale Öffnung eines (persönlichen) E-Mail-Accounts
wird trotzdem im Regelfall unzulässig sein, da der Account auch private, nicht betriebliche E-Mails enthalten kann
- Schutz- und Strafbestimmungen gelten unabhängig von Eigentumsrechten oder betrieblichen Weisungen
© ARGE DATEN 2015ARGE DATENARGE DATEN
Datenschutz und personalisierte E-Mail-Postfächer
E-Mail-Postfächer VRechte der Geschäftsführung II
- die Öffnung eines E-Mail-Accounts wird daher so zu gestalten sein, dass die Persönlichkeits- und Geheimhaltungsrechte des Mitarbeiters gewahrt werden
- Mögliche Lösungsvaranten: Mitwirkung des betroffenen Mitarbeiters Mitwirkung einer Vertrauensperson des Mitarbeiters Mitwirkung der Personalvertretung Mitwirkung vertrauenswürdiger Dritter (z.B. Anwalt, ...)
- in allen Fällen dürfen nur jene E-Mails übernommen werden, die den Betrieb betreffen, alle anderen E-Mails dürfen "nicht zur Kenntnis genommen werden", sofern der Mitarbeiter noch erreichbar ist, sind sie auszuhändigen, in den anderen Fällen an den Absender zu retournieren
- unzulässig wäre das (dauerhafte) Weiterleiten eines persönlichen E-Mail-Accounts
© ARGE DATEN 2015ARGE DATENARGE DATEN
Datenschutz und personalisierte E-Mail-Postfächer
E-Mail-Postfächer VIPflicht des Dienstleisters
- die Herausgabe von E-Mail-Zugangsdaten durch den E-Mail-Provider wird nur dann zulässig sein, wenn die Geschäftsführung darlegen kann, dass die Persönlichkeits- und Geheimhaltungsrechte des Mitarbeiters gewahrt werden
- zulässig wäre wohl eine "Sperre" des Accounts, sofern Mail-Absender über die Nichtzustellung einer E-Mail informiert werden
- unzulässig wäre das "Verschwinden lassen" (unterdrücken) einlangender E-Mails
Das Öffnen von Mitarbeiter-E-Mail-Accounts ist immer eine Gratwanderung zwischen berechtigten
betrieblichen Interessen und Geheimhaltungsinteressen der Mitarbeiter
Betriebliche Abläufe sollten weitgehend so geplant werden,
das E-Mails nur ein Hilfsmittel, nicht jedoch das Rückrat der betrieblichen Tätigkeit sind
© ARGE DATEN 2015ARGE DATEN
Schadenersatz (§ 33)schuldhaftes Verhalten notwendigbei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzenbei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt EntschädigungEntschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]bei Veröffentlichungen in einem Medium gilt MediengesetzEntschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen
DSG 2000 - Kontroll- & Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Schadenersatz
LG Innsbruck 12 Cg 72/10h ("Mehrkosten")Ausgangslage
- Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab
LG-Entscheidung- Verwendete Daten stammen aus Exekutionsdatenbank der
Justiz- abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten:
56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...)- 1.000,- Euro immaterieller Schadenersatz wegen
Kreditschädigung- mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt,
Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt
- Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35)
© ARGE DATEN 2015ARGE DATEN
Gewinn- oder Schädigungsabsicht (§ 51)- Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer
Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht
Strafausmaß: bis ein JahrDelikt wird zum Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiär
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Strafbestimmungen bei öffentlich-rechtlichen OrganenMissbrauch der Amtsgewalt (§ 302 StGB)
Strafrahmen: bis 5 JahreLaufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten)
Verletzung des Amtsgeheimnisses (§ 310 StGB)
Strafrahmen: bis 3 Jahre
denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)
Strafrahmen: bis 3 Jahre
Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]
- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer
DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines
rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)
Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.
Strafrahmen: bis 10.000,- Euro
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]
neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)Strafrahmen: bis 500,- Euro [neu seit 2010]
Verfallbestimmungen § 52 Abs. 4Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2015ARGE DATEN
Ich danke für Ihre Aufmerksamkeit
© ARGE DATEN 2015ARGE DATEN
http://www.argedaten.at/
http://www.dsb.gv.at/ http://ec.europa.eu/justice/policies/privacy/index_en.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
Onlineinformation
http://www.datenschutzverein.de/
Top Related