Post on 05-Apr-2015
transcript
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen in Internet und eCommerce/eBusiness
Hans G. ZegerJuridicum Wien, VO Sommersemester 2013
Download: http://www.e-monitoring.at/static/vo-ds-internet.pdf
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundfragen
Was ist überhaupt "Datenschutz"?- 1890 formulierten Warren/Brandeis in der Harvard Law
Review ein "right to be let alone" (The Right to Privacy), gilt als Beginn des modernen Privatsphäregedankens
- 70er-Jahre europaweit diverse Datenschutzinitiativen als Gegenbewegung zu Entwicklungen in der Computertechnik (inkl. Europarat, OECD)
- 1978 im öDSG Datenschutz als Interpretation des Art. 8 EMRK (Teil des Privat- und Familienlebens), im DSG 2000 beibehalten
- 2009 Datenschutz wird eigenes Grundrecht in EU-Grundrechtecharta
- 1983 deutsches Volkszählungsurteil "informationelles Selbstbestimmungsrecht" (Bundesverfassungsgericht)
- 2008 deutsches Online-Durchsuchungsurteil formuliert "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (Bundesverfassungsgericht)
"Datenschutz" als moderne Ausformung von Grundrechten
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundfragen
Was ist das Internet?- technische Infrastruktur
("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie", ...)
- Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", ...)
- Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt", ...)
- Erweiterung der Privatsphäre ("eMail", "Weblog"/Tagebuch, "Freundeskreis", ...)
- politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren", ...)
Abgrenzung nicht immer offensichtlich, können zu gegensätzlichen Interessen führen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Anwendungsfälle Datenschutz
Welche (Internet-)Situationen sind überhaupt datenschutzrelevant?
- Vereinbarung mit dem Provider, Tätigkeit der Provider
- Bestellungen im Internet ("eCommerce")
- Amtswege und öffentliche Verwaltung, Vorschreibungen ("eGovernment")
- Nutzung personalisierter und/oder kostenpflichtiger Informationsdienste ("Online-Services", "Apps")
- Selbstdarstellung / Meinungsäußerung ("Web2.0", "Social Media")
- Veröffentlichung persönlicher Daten durch Dritte
- Nutzung als Infrastruktur (virtuelle Unternehmensnetze, Intranet, Extranet)
- sonstige Internetnutzungen: ????
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Anwendbare Bestimmungen
Wo finden sich zum Internet datenschutzrelevante Bestimmungen?
- DSG 2000 (Verarbeitungsvoraussetzungen, Schutzbestimmungen)
- TKG 2003 (Verarbeitungsvoraussetzungen, Schutzbestimmungen, Auskunftspflichten, Dienstleister)
- ABGB Privatsphärebestimmung (Schutzbestimmung)
- SPG (Auskunftspflichten)
- ECG (Dienstleister, Haftung, Auskunftspflichten)
- StPO (Auskunftspflichten)
- UrhG (Auskunftspflichten)
- Materiegesetze, wie E-Government Gesetz, Gesundheitstelematikgesetz, ...)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Bestimmungen zum Schutz der Privatsphäre• EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr)
• StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis)
• § 1 DSG 2000 (Geheimhaltung Daten)
• § 16 ABGB (angeborene Rechte)
• StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch)
• TKG 2003 § 93 (Kommunikationsgeheimnis)
• MedienG § 7ff (Bloßstellung)
• UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz), § 87 Abs 2 (Entschädigung)
• Regelungen für einzelne Berufsgruppen
• ABGB § 1328a (Bloßstellung)
• StGB § 107a (Anti-Stalking-Bestimmung)
Schutz der Privatsphäre - Übersicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlagen des DSG 2000
Die wichtigsten Begriffe
Zustimmung
Zulässigkeit der Datenverwendung
Rechtmäßige Datenanwendung
© Hans G. Zeger 2013
Entwicklung zum DSG 2000
1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978)(Geltung 1.1.1980-31.12.1999)
1995 EG-Datenschutzrichtlinie 95/46/EG1999 Datenschutzgesetz - DSG 2000 (BGBl. I
Nr. 165/1999)
Änderungen des DSG 20002001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001)
2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005)
2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008)
2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)
2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012)
2013 "Unabhängigkeit" der DSK (BGBl. I Nr. 57/2013)
2014 Schaffung neue Datenschutzbehörde (BGBl. I Nr. 83/2013)
20?? EU - Neuordnung des Datenschutzes
DSG 2000 - Grundlagen
VO SS2013 - Juridicum
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Umsetzung der EU-Richtlinie "Datenschutz" (1995)
soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern
Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."
Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."
EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
DSG 2000 - Grundrecht
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung persönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich:
- mit der Zustimmung des Betroffenen
- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter
- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)
Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen
- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter
- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
VO SS2013 - Juridicum
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 § 4 Z 1
"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"
Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,
technische Kennzahlen (z.B. IP-Adressen, Cookies, Stromverbrauchsdaten, ...)
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Personenbezogene Daten
Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)personenbezogene Daten § 4 Z 1 DSG 2000
sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff)
sensible Daten§ 4 Z 2 DSG 2000
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 § 4 Z 2 ("sensible" Daten)
Daten natürlicher Personen über
rassische und ethnische Herkunft
politische Meinung
Gewerkschaftszugehörigkeit
religiöse und philosophische Überzeugung
Gesundheit
Sexualleben
Probleme kann die Abgrenzung bereiten, z.B. Bestellungen von "Gesundheitsprodukten", Nutzung
von Sexseiten, ...
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)
DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 § 4 Z 7,,Datenanwendung''
"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"
DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"
DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"
Übermittlung ist unabhängig von der technischen Methode
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 § 4 Z 14
"Zustimmung""die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"
Widerruf in § 8 bzw. § 9 DSG 2000 geregelt
Entscheidungen:OGH 4 Ob 221/06p 20.3.2007 ("GE ...bank")OGH 4 Ob 179/02f 19.11.2002 ("BA-CA")
DSG 2000 - Grundlagen
Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur
Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ...
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Was ist eine geeignete Zustimmungserklärung?- grundsätzlich gilt Formfreiheit
auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich
- WillenserklärungArt wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei GeschäftsleutenEmpfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen
- Kenntnis der SachlageAufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann)
- konkreter FallPauschalzustimmungen, ohne besonderen Zweck sind unzulässsig
- Widerrufshinweisgesetzlich nicht vorgeschrieben, OGH verlangt sie jedenfalls bei Konsumentengeschäften
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verwenden von Daten
Z 8
Übermitteln Verarbeiten
Z 9
Z 12
Daten-anwendun
gZ 7
Auftraggeber
Z 4
Dienstleister
Z 5
AuftragÜberlassen
Z 11
Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...
DSG 2000 - Grundlagen
Die wichtigsten Begriffe (§ 4 DSG Z ...)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)
Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)
Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)
Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)
Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung]
K120.705/010-DSK/2001 14.9.2001 ("gelindester Eingriff")
Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlage einer rechtmäßigen Datenverwendung
Dreistufiges Konzept
Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)
Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff)
Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff)
Beispiel:
Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden?
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten)
Wann dürfen Daten jedenfalls verwendet werden? (Auszug)
- Rechtsgrundlage / gesetzliche Verpflichtungen- Zustimmung des Betroffenen- zur Wahrung lebenswichtiger Interessen- überwiegende Interessen Dritter / Auftraggeber
(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit
- indirekt personenbezogene Daten (EU-Konformität??)- zulässig veröffentliche Daten:
soweit berechtigter Zweck des Verwenders gegeben?soweit mit ursprünglicher Veröffentlichung vereinbar?
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Einrichtungen / Zuständigkeiten bei DSG-Verletzungen- Datenschutzkommission (formlos)
[ab 1.1.2014 Datenschutzbehörde] - Kontroll- und Registrierungsstelle für alle Datenverarbeiter, - Beschwerdestelle in Auskunftsfällen für alle Datenverarbeiter und - für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen (§§ 30f, 35ff DSG 2000)
- Zivilgericht (Anwaltspflicht)In allen sonstigen Beschwerdefällen, die durch das DSG 2000 geregelt sind (§ 32 DSG 2000)
- Magistrat / Bezirkshauptmannschaft (formlos)Anzeigen gem. § 52 DSG 2000
- Staatsanwaltschaft / Polizei (formlos)Anzeigen gem. § 51 DSG 2000
DSG 2000 - Einrichtungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzkommission (DSK, §§ 35,36)- Oberste Kontrollbehörde
(Genehmigungen, Beschwerden und Kontrolle)- als "unabhängige" Instanz eingerichtet (Form eines
Tribunals):6 Mitglieder + 6 Ersatzmitglieder
- im Vertragsverletzungsverfahren EU-Kommission gegen Österreich hat EuGH 16.10.2012 Rs C-614/10 mangelnde Unabhängigkeit der DSK festgestellt
- kritisierte Punkte durch DSG-Novelle 2013 saniert:eigenes BudgetBerichtspflicht gegenüber Bundeskanzlereigene Personalverantwortung
- Bescheide der DSK sind gem VwGH 2011/17/0156 24.4.2013 nichtig
- ab 2014: zwei InstanzenDatenschutzbehörde (Verwaltungsbehörde) mit einem Leiter +Bundesverwaltungsgerichtshof als Beschwerdeinstanz
DSG 2000 - Einrichtungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Kontrollbefugnisse der DSK I
(DSG 2000 § 22a "Überprüfung der Meldepflicht")
- DSK kann jederzeit Erfüllung der Meldepflicht prüfen- bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen
- DSK kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich
- Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen
- wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten
DSG 2000 - DSK-Kontrollbefugnisse
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Kontrollbefugnisse der DSK II
(DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung)
- DSK kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen
- Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken")
DSG 2000 - DSK-Kontrollbefugnisse
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Kontrollbefugnisse der DSK III(DSG 2000 § 30)
- Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister
- Eingaben erlauben DSK eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a)
- Weitergabebefugnisse von Ermittlungsergebnissen der DSK bei bestimmten (Cybercrime-)Strafdaten (Abs. 5)
- Erweiterte Befugnisse der DSK zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a)
- Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a)
DSG 2000 - DSK-Kontrollbefugnisse
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle(DSG2000 § 10, § 18 Abs. 2, § 20, 21, 30, § 10)bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK
- DA's die sensible Daten verwenden
- DA's die in Form eines Informationsverbundsystems betrieben werden
- registrierungspflichtige Videoüberwachungen
- DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten
Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich
Auflagen zum Betrieb der Datenanwendung können erteilt werden
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Zeitpunkt der Kontrolle durch DSK
(a)vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18)
(b)bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen (§ 30)
(c) DSK kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: §22a)
[Gesetzgeber hofft laut EB zur DSG-Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für
DSK geschaffen zu haben]Europäische Agentur für Grundrechte (EU)
kritisierte 5/2010 mangelnde Durchsetzungsbefugnisse der österreichischen
Datenschutzkommission
DSG 2000 - DSK-Kontrollbefugnisse
© Hans G. Zeger 2013
VO SS2013 - Juridicum
In welchem Umfang ist DSG auf das Internet anwendbar?Dazu sind Vorfragen zu klären:
- Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung?
- Ist eMail-Verkehr eine Datenanwendung?
- Wann handelt es sich um personenbezogene Daten?Was sind die Mindestangaben, um von Personenbezug sprechen zu können?Name, Adresse, IdentifikationsdateneMail-AdresseIP-Adresse, Matrikelnummer (z.B. e0640132)Kundennummer/BenutzerkennungCookies, Computersignatur, ...
- Ist ein berechtigter Zweck gegeben?
Internet und Datenschutz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Webseite als Datenanwendung
Bedeutung der IP-Adresse
Veröffentlichung von Informationen
Web-Zugriffsstatistik
Zweck der Datenanwendung
Beispiele / Entscheidungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Beispiele / Entscheidungen
EuGH-Entscheidung C-101/01 Fall Lindqvist
Frau Lindqvist war/ist Reinigungskraftbesuchte einen Web-Programmierkursehrenamtlich in der lokalen Kirche tätig
Produzierte eine persönliche Webseiteenthalten:
- Informationen über sich und Ehemann- 16 namentlich genannte
Konfirmanten/Kirchenmitarbeiter- "lustige" Beschreibung der Interessen dieser
Personen- Information über eine Beinverletzung einer Person
und dass sie nicht am Unterricht teilnehmen kann
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Beispiele / Entscheidungen
EuGH-Entscheidung C-101/01 Lindqvist IIFrau Lindqvist löscht sofort nach Verlangen
- trotzdem Strafverfahren, weil Datenverarbeitung nicht registriert
- Strafe von 4000 SEKronen (ca. 430 Euro)
Im Zuge des Verfahrens wurde EuGH von schwedischem Gericht mit einer Reihe von Fragen angerufen:
- Ist eine Website eine Datenverarbeitung?- Gelten die Ausnahmebestimmungen für private
Webseiten?- Handelt es sich um sensitive Daten?- Liegt (genehmigungspflichtiger) internationaler
Datenverkehr vor?- Schränkt das EG-Datenschutzrecht unzulässig die
Freiheit der Meinungsäußerung ein?- Gibt die Richtlinie 95/46/EG nur einen Mindeststandard
vor?
JA
JANEIN
NEIN
NEINNEIN
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Root Nameservice, ca. 123
Rootserver, weltweit verteilt nationales
Nameservice, TLD-Server, nic.at
Grundlagen Internet
Was passiert bei der Internetkommunikation?
Abruf Webseite www.orf.at/inhalt
Webserver www.orf.atBenutzersicht
Providerwolke B
IP-Adresse Benutzer 100.255.255.255
Vienna Internet Exchange
IP-Adresse Anbieter 99.255.255.255
100.
255.
255.
255
/
99.2
55.2
55.2
55
100.255.255.255 /
99.255.255.255
Datenbank Inhaber IP-Adressen
und Domainnam
en
orf.at ?100.255.255.255 ?
99.255.255.255 ?www.orf.at/inhalt ?
WHOIS www.orf.at?
Nameservice, meist Provider
Providerwolke A
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlagen Internet
Sitz Marina del Rey (nahe Los Angeles)seit 2009: Übereinkommen mit US-Handelsministerium (DOC), davor Aufsicht durch DOC, Beirat mit Regierungsvertretern: Governmental Advisory Committee (GAC).
IANA = Internet Assigned Numbers Authorityoperative Nummernverwaltung (IP-Adressen, Protokolle und Ports) mit Teilorganisationen
Organisation im Internet I
ICANN = Internet Corporation for Assigned Names and Numbersprivatrechtliche Non-Profit-Organisation US-amerikanischen Rechts
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlagen Internet
Organisation im Internet II
Root-Nameservice (A-M)VeriSign/US/verteilt (A,J), University of Southern California/US (B), Cogent/US/verteilt (C), University of Maryland/US (D), NASA/US (E), ISC[University of California, Berkeley]/US/verteilt (F), USDoD /US (G), USArmy/US (H), nordu/SE/verteilt (I), RIPE/NL/verteilt (K), ICANN/US (L), WIDE Project/JP (M)
- 13 Knoten, 123 Server (letzter verfügbarer Stand Ende 2006)
- US-Dominanz- Koordinations- und Publikationsinstanz: Verisign
(nach Auftrag von ICANN, Genehmigung U.S. Department of Commerce)
Bei Ausfall dieses Services ist weltweit kein Internetbetrieb im gewohnten Umfang möglich!
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlagen Internet
Wie erfahre ich etwas über Internetkommunikation?
- IP-Adress(Range)-Information (http://www.db.ripe.net/)
- IP-Lookup-Information (http://www.dnsstuff.com/)
- Traceroute (http://www.dnsstuff.com/)
- Domain-Name-Service (http://www.dnsstuff.com/)
- Standortinformation (http://www.ip-adress.com/)
- System-Information zu eMail, Browser, Server (http://www.netcraft.com)
- Portscan/Schwachstellenanalyse (http://www.nessus.org/)
Beispiele IP-Adressen:- 194.232.104.22 [ORF]
- 91.114.3.197 [Erste Sparinvest]
- 91.112.60.226, 91.112.191.38, 88.117.177.94 [persönliche Adressen]
- 92.193.83.188, 88.117.118.76 [Dynamic IP Addresses]
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlagen Internet
IHL = IP Header Length, TOS = Type of Service, Total Length = Paketgröße (max, 65.535 Byte), Identification = Kennung des Paketes, Time to Live = Lebensdauer
IP-Datenpaket - Keine Trennung von Adress- und Inhaltsinformation
Zahl der Bits
Zieladresse
Absendeadresse
Inhalt
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSK-Entscheidung zur IP-Adresse(Empfehlung K213.000/0005-DSK/2006 29.9.2006)
Ausgangslage
Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte.
Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte
DSK-Empfehlung
- IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten)
- bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden
- die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig
Beispiele / Entscheidungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wertungsunterschiede bieten Konfliktpotential
- KFZ-Datenbank der Schweiz (Beispiel: http://www.viacar.ch/eindex/login.aspx?kanton=ag)
- Sexualstraftäterdatei USA(http://www.nsopr.gov/)
- Sexualstraftäterdatei GB(Google-Suche nach "schotte sex fahrrad")
Zugang wird laufend modifiziert um "Missbrauch" zu verhindern:meist CAPTCHA Codes verwendet = Completely Automated Public Turing test to tell Computers and Humans Apart
Demobeispiele Veröffentlichung
Was ist eine zulässige Veröffentlichung?
Veröffentlichen von Informationen- ist im DSG 2000 Spezialfall der Datenübermittlung- die Veröffentlichung muss rechtlich zulässig sein
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Was ist eine (un)zulässige Veröffentlichung im Internet?
- Veröffentlichen von Hausbesorgerdaten (OLG Innsbruck, Beschlüsse vom 27.9.1999, 1 R 143/99 und 28.3.2000, 1 R 30/00x)
- Private Schuldnerfahndunghttp://www.seastar.at/Exekutionen.htmsiehe auch Mandatsbescheid DSK K211.505/002-DSK/2004 20.1.2004
- Veröffentlichen von Mitarbeiter-/Schüler-/Studentenfotoszusätzlich Bildnisschutz § 78 UrhG beachten OGH 8ObA136/00h 5.10.2005
- Teilnehmerlisten (Sportveranstaltungen, Schulen, Universitätsveranstaltungen, ...)
- WHOIS-Daten (technische Internet-Informationen)
- Lehrerbewertung: Freie Meinungsäußerung hat VorrangBundesgerichtshof VI ZR 196/08 23.6.2009 http://www.spickmich.de/
Dreistufiges Konzept zur Zulässigkeit ist zu beachten!
Demobeispiele Veröffentlichung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Demobeispiele Veröffentlichung
Herold verknüpftTelefonbuchsuchemit LuftbildFragen:Handelt es sich bei Luftbild um personenbezogene Information?
Ist Zustimmung erforderlich?
Erfüllt Veröffentlichung berechtigten Zweck?Wäre durch Löschung des Familiennamens Luftbild-Veröffent-lichung saniert?
http:/www.herold.at/
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Demobeispiele Veröffentlichung
Diskussionsforum eines Mediendiensteshttp://www.vol.at/news/vorarlberg/artikel/fpoe-will-minarette-verhindern/cn/news-20080221-07015646
"offizieller" Diskussionsbeitrag
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Diskussionsforum eines Mediendienstes IIhttp://www.vol.at/news/vorarlberg/artikel/fpoe-will-minarette-verhindern/cn/news-20080221-07015646
"inoffizieller" DiskussionsbeitrageMail-Adresse und IP-Adresse unkenntlich gemacht
Demobeispiele Veröffentlichung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Diskussionsforum eines Mediendienstes III
- Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)?
- Handelt es sich um eine Datenanwendung im Sinne des DSG?
- Besteht eine Rechtsgrundlage für die Veröffentlichung?(berechtigter Zweck, zulässige Datenverwendung, Registrierungserfordernis)
- Welche Bestimmungen/Regulierungen sind anzuwenden?
- Verhalten bei Kenntnisnahme durch Internetbenutzer?
- Wer ist für Aufsicht verantwortlich / Welche Zuständigkeit?
- Welche Sanktionen sind vorgesehen?
Demobeispiele Veröffentlichung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Demobeispiele Veröffentlichung
http://www.sexpunkt.at/ [Website seit 2011 nicht mehr aktiv]
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Demobeispiele Veröffentlichung
öffentlich zugängliche Besucherstatistik zu sexpunkt.at
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Demobeispiele Veröffentlichung
öffentlich zugängliche Besucherstatistik zu "zärtliche Nicole"http://zaertliche-nicole.com/ [Counter 2011 nicht mehr aktiv]
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Veranstaltungsanmeldung http://www.b2bnetwork.at/
Demobeispiel Online-Anmeldung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Googles Street-View
Aufzeichnung "öffentlichen" Verhaltens http://maps.google.com/help/maps/streetview
- handelt es sich überhaupt um personenbezogene Datenverarbeitung?
- Google sagt zu, Personen vor Veröffentlichung zu "verpixeln"
- Was ist zu den Street-View-Funseiten zu sagen?http://www.streetviewfun.com/ http://streetviewr.com/
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Googles Street-View
DSK genehmigt 2011 Street-View Anwendung mit drei Empfehlungen (K213.120/0002-DSK/2012 14.2.2012)
- Aufnahmen von Personen in sensiblen Bereichen sind die Gesamtbilder der Personen unkenntlich zu machen: etwa Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen
- für Spaziergänger nicht einsehbare Immobilien (umzäunte Privatgärten und -höfe) sind vor Veröffentlichung im Internet unkenntlich zu machen
- Schaffung eines einfachen Widerspruchsrechts nach § 28 Abs. 2 DSG 2000
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Web 2.0 - Datenschutzspezifische Fragestellungen
Vorgaben des DSG 2000:(1) Rollenkonzept: Auftraggeber, Betroffener,
Dienstleister(2) Schutzinteressen der persönlichen Daten:
allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten
(3) berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung
(4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht
Datenschutzregeln treffen sowohl Betreiber des Accounts ("Benutzer" [A]), als auch
Plattformbetreiber ("Facebook" [B]),
Web2.0, Social Media und Datenschutz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich
(1) Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung.[B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber
(2) Schutzinteresse: [A] Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat.[B] Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden.
Web2.0, Social Media und Datenschutz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II
(3) Berechtigter Zweck: [A] Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000[B] für Facebook aus Angebot und Geschäftsbedingungen ableitbar
(4) Aufsicht: [A] Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht[B] für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht)
Web2.0, Social Media und Datenschutz
© Hans G. Zeger 2013
Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(1) Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor!
[B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber
Web2.0, Social Media und Datenschutz
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(2) Schutzinteresse: [A] Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.
[B] Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.
Web2.0, Social Media und Datenschutz
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(3) Berechtigter Zweck: [A] Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).
[B] In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar.
(4) Aufsicht: [A] Für Unternehmen dann Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung).
[B] Für Facebook gelten die Bestimmungen des Geschäftssitzes
Web2.0, Social Media und Datenschutz
VO SS2013 - Juridicum
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Facebook / LikeIt
Was passiert bei Aufruf einer Website in dem ein
Facebook LikeIt Button (ein Social Plugin) eingebaut ist?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Weitere Themen
DSK 120.881/010-DSK/2003 12.12.2003("eMail-Datenanwendung")
Auch e-Mail-Verkehr ist als Datenanwendung iS des DSG 2000 anzusehen und unterliegt der Auskunftspflicht
Beispiele / Entscheidungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
In welchem Umfang ist DSG auf Internet anwendbar?
- Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist)
- Ist eMail-Verkehr eine Datenanwendung? (ja, siehe DSK K120.881/010-DSK/2003 12.12.2003, DSK K121.259/0013-DSK/2007 24.5.2007)
- Wann handelt es sich um personenbezogene Daten?Name, Adresse, IdentifikationsdateneMail-Adresse (ja, siehe OLG Bamberg/D 1U143/04 12.5.2005)IP-Adresse (ja, siehe DSK K213.000/0005-DSK/2006 29.9.2006)Kundennummer/BenutzerkennungCookies, personalisierte Webinformationen, ...Kriterium ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2)
- Ist berechtigter Zweck gegeben? (DSK K211.505/002-DSK/2004 20.1.2004) [unzulässiges Onlineangebot zur Kreditwürdigkeit]
Beispiele / Entscheidungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Eurobarometerumfrage 2011
Was wird überhaupt als (schutzwürdige) personenbezogene Information gesehen? (EU27 / AT / max / min)
- Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL
- Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL
- Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT
- Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO
- mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG
- private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE
/ 8% CY
- besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO
Länder mit höchsten Datenschutzbewusstsein:Deutschland, Niederlande, Großbritannien, Österreich
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Besondere Dienstleisterverpflichtungen
Registrierung von Datenanwendungen
Informationsverbundsystem
DSG-Bestimmungen
Anwendbare Datenschutzbestimmung
Internationaler Datenverkehr
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Dienstleister
Dienstleister im Sinne des DSG 2000 (§§ 10f)- Dienstleistung liegt vor, wenn ein Verantwortlicher
jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut
- Geeignete Vereinbarungen sind zu treffen
- Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]
- Meldepflicht bei DSK bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten),keine Meldepflicht bei verbundenen Unternehmen
- Subdienstleister nur mit Billigung des Auftraggebers
Schriftliche Vereinbarung notwendig!(§ 11 Abs. 2 DSG 2000)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Registrierung von Datenanwendungen (§§ 16ff)
- Datenanwendungen sind grundsätzlich meldepflichtig (§ 17)
- Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17)
- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21)
- Registrierung ist kostenlos (§ 53)- Registrierung soll Transparenz sichern, die
Registernummer ist in jeder Korrespondenz mit Betroffenen oder Dritten anzugeben (§ 16)
- Jedermann kann Einsicht in Registrierung nehmen (§ 16)
- Es gibt Ausnahmen von der Registrierungspflicht (§ 17)
DSG 2000 - Registrierung und Genehmigung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Registrierungsfreiheit (§ 17)
- Standardanwendungen
- DA enthält ausschließlich (!) veröffentlichte Daten (aus öffentlichen Internetseiten, Telefonbuch- oder Firmen-Suche)
- ausschließlich indirekt personenbezogene Daten
- persönliche Datenanwendungen (persönliche eMails, Webseiten mit ausschließlich eigenen Angaben)
- publizistische Datenanwendungen (Online-Medien)
- manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen
- Führung öffentlicher, gesetzlich vorgesehener Register
- bestimmte DA‘s der Republik Österreich
- DA für Zwecke der Strafverfolgung
DSG 2000 - Registrierung und Genehmigung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenverarbeitungsregister (DVR) (§§ 16ff)
Zeitpunkt der Registrierungspflicht und wann ist zulässiger Beginn der Verarbeitung? (§ 18)
- Beginn der Verarbeitung mit Tag der Registrierungsmeldung(gilt für "normale" DAs)
oder- nach Abschluss der Vorabkontrolle, wenn keine
Einwände erhoben werden, 2 Monate nach Meldung(gilt für DAs, die der "Vorabkontrolle" unterliegen)
- Datenverarbeitungsregister ist Teil der DSK (§ 16)
- derzeit etwa 400.000 registrierte Auftraggeber
- Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25)
- ab 9/2012 erfolgt die Registrierung automationsunterstützt
DSG 2000 - Registrierung und Genehmigung
© Hans G. Zeger 2013
Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungsfreiheit (EU: "Datenexport")
- innergemeinschaftlicher Datenverkehr
- gleichwertige Datenschutzgesetzgebung
- im Inland zulässigerweise veröffentlichte Daten
- notwendige Grundlage zur Vertragserfüllung mit Betroffenen
- persönliche oder publizistische DA‘s
- mit Zustimmung des Betroffenen
- wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen
- bei Akten und Dokumenten (Entscheidung DSK K178.074/13-DSK/00 14.4.2000 "gegenseitige Information zu Waffenexporten")
- Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt dazu eine Verordnung des Bundeskanzlers)
DSG 2000 - Internationaler Datenverkehr
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Genehmigungsfrei (weil gleichwertig)- gleichwertig auf Grund EWR-Verträge
Island, Norwegen, Liechtenstein
- gleichwertig gem. KommissionsentscheidungSchweiz (27.7.2000), Kanada (15.1.2002)Argentinien (30.6.2003), Australien (30.6.2008)Israel (31.1.2011), Uruguay (23.8.2012)Neuseeland (30.1.2013)Andorra, Faeroe Islands, Guernsey, Isle of Man, Jersey
- USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen)
bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber selbst um den Datenschutz zu kümmern
DSG 2000 - Internationaler Datenverkehr
VO SS2013 - Juridicum
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Was bedeutet "Safe Harbour"?
In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards
Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich, es kann jederzeit wieder ausgetreten werden
FTC (Federal Trade Commission, Bundeshandelskommission) bzwUS-Verkehrsministerium (bei Luftfahrtgesellschaften)überwachen Einhaltung
Liste mit Teilnehmern veröffentlicht, Stand April 2013: ca. 3.500 Organisationen, inkl. nicht aktueller Einträgeprominente Nicht-Teilnehmer: eBay, automattic(wordpress)
Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online-Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten, ...
Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems
DSG 2000 - Internationaler Datenverkehr
© Hans G. Zeger 2013
VO SS2013 - Juridicum
zentrale Grundsätze des "Safe Harbour"- INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24)
- WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch")
- WEITERGABE (DSG 2000 u.a. § 8f "Verwendung")
- SICHERHEIT (DSG 2000 § 14)
- DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze")
- AUSKUNFTSRECHT (DSG 2000 § 26f)
- DURCHSETZUNG (DSG 2000 § 30ff)
DSG 2000 - Internationaler Datenverkehr
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11)
- Betroffene können sich direkt beschweren
- Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt(BBBOnline, TRUSTe, ...)
- ebenso Beschwerden der EU-Mitgliedsstaaten
- Fortgesetzte Missachtungen sind zu veröffentlichen
- Sanktionen:öffentliche Bekanntmachung ("Pranger")Löschung betreffender DatenEntschädigung für PersonenStreichung von der Liste "safe harbour"sonstige Auflagen
DSG 2000 - Internationaler Datenverkehr
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungspflichtin allen anderen Fällen besteht Genehmigungspflicht (§ 13)die Genehmigung hat die DSK zu erteilen:
- dabei die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2)
- im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [Verwendung von Mustervereinbarungen]
- Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2)
- seit DSG-Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2)
DSG 2000 - Internationaler Datenverkehr
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Anwendbares Recht
95/46/EG - Ziel ist Vereinheitlichung der Zuständigkeit
Art. 4 Abs. 1 a)+b) Niederlassung im Mitgliedstaat
"a) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt."
b) regelt Spezialfälle, wie etwa Botschaften
Niederlassung: definiert in Erwägungsgrund 19:- effektive und tatsächliche Ausübung einer Tätigkeit
mittels einer festen Einrichtung- Rechtsform der Niederlassung ist nicht maßgeblich- bloße Server (technische Geräte) sind keine
Niederlassung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
95/46/EG - Weiterer AnwendungsfallArt. 4 Abs. 1 c) Verantwortlicher aus Drittstaat nutzt Mittel im Mitgliedstaat ("Durchführungsprinzip")
c) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf Verarbeitungen an, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der EU/EWR niedergelassen ist, aber auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet belegen sind.
Diese Bestimmung bringt insbesondere im Zusammenhang mit Internetanwendungen erhebliche Auslegungsschwierigkeiten:
- Ist die Installation eines Programms (Javaskript) auf einem lokalen Computer schon ein "zurückgreifen"?
- jedenfalls erfasst: Backuprechen- und Notfallsrechenzentren, Dienstleistung durch EU-Unternehmen
DSG 2000 - Anwendbares Recht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
95/46/EG - Konsequenzen
Auswirkungen innerhalb der EU- Es gilt das Recht jenes Staates / jener Staaten, wo der
Verantwortliche seine Niederlassung(en) hat
Auswirkungen für Unternehmen in Drittstaaten- Sobald sie Mittel in der EU nutzen, gilt das
Datenschutzrecht des jeweiligen EU-Staates- Ansonsten gilt das nationale Datenschutzrecht des
Drittstaates (sofern überhaupt vorhanden)
DSG 2000 - Anwendbares Recht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Umsetzung in Österreich (§ 3 DSG 2000)
Österreichisches DSG 2000 ist anzuwenden- wenn Daten im Inland verwendet werden,- wenn Daten eines anderen EU/EWR-Staates in einer
österreichischen Niederlassung verwendet wird- wenn Daten eines Drittstaates in Österreich (technisch)
verwendet werden (österreichischer Verantwortlicher ist zu benennen!)
Österreichisches DSG 2000 ist nicht anzuwenden
- wenn Daten im Inland, aber für einen Auftraggeber mit Sitz in einem anderen EU/EWR-Staat verwendet werden und der Zweck keiner österreichischen Niederlassung zuzurechnen ist
- wenn Daten durch Österreich nur durchgeführt werden
DSG 2000 - Anwendbares Recht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Was ist ein Informationsverbundsystem? (§ 50)gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber
geeigneter Betreiber ist zu bestellen
Betreiber ist zwecks Eintrag im DVR zu melden
Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden
Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)
Stand lt. DVR-Online: ca. 92 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private
DSG 2000 - Spezialregelungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Betroffenenrechte / Informationspflichten
Recht auf Geheimhaltung (§ 1ff)
Recht auf Auskunft (§ 26)
Recht auf Berichtigung & Löschung (§ 27)
Informationspflicht (§ 24)
Recht auf Widerspruch (§ 28)
Recht auf Widerruf (§§ 8, 9)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Offenlegungspflicht (§ 25)Offenlegung anlässlich Übermittlung und Mitteilung an Betroffene
Identität des Auftraggebersbei registrierungspflichtigen DAs die DVR-Nummer des
Auftraggebers
DSG 2000 - Informationspflicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Informationspflicht (§ 24 / Art. 10, 11, 14 EU-RL)Informationspflicht anlässlich Ermittlung
ZweckAuftraggeber
Spätestens zum Zeitpunkt der Übermittlung
Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung
eingerichtet sind oder- bei mangelnder Erreichbarkeit der Betroffenen oder- bei Unwahrscheinlichkeit der Beeinträchtigung der
Betroffenenrechte und Höhe der Kosten der Information
Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen
verwendet werden (z.B. Adressenverlagen / Informationsdiensten)
DSG 2000 - Informationspflicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Informationspflicht (seit 1.1.2010)(DSG 2000 § 24 Abs. 2a)
Betroffene sind von Datenschutzverletzungen zu informieren
- wenn schwerwiegend und systematisch- wenn Betroffenen Schaden droht- Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch"
Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich
reduziert wurde.
DSG 2000 - Informationspflicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Betroffenenrecht - Auskunft (§ 26)
Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]
Auskunftsfrist sind 8 Wochen (Abs. 4)
Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)
ungerechtfertigter Aufwand ist zu vermeiden
Auskunftsrecht unabhängig von Registrierungserfordernis [!!]von einem Vertragsverhältnisvon tatsächlichem Vorhandensein von Daten von Datenmissbrauchvon Datenweitergabe
DSG 2000 - Betroffenenrechte
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Betroffenenrecht - Auskunft (§ 26) II
Auftraggeber hat Auskunft zu erteilen überZweck der Datenanwendung
die verwendeten Daten in allgemein verständlicher Form
verfügbare Information über ihre Herkunft
allfällige Empfänger oder Empfängerkreise von Übermittlungen
Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden)
4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens
Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich
DSG 2000 - Betroffenenrechte
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Betroffenenrecht - Auskunft (§ 26) III
begründete Auskunftsverweigerung / Auskunftsbegrenzungen ist möglich, u.a.
Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90 15.1.1991), nicht zu verwechseln mit Betroffener "kennt eigene" Daten
überwiegende Interessen des Auftraggebers oder Dritter
aus therapeutischen Gründen (Gesundheitszustand)
formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz
Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei
ansonsten Ersatz der tatsächlichen Kosten oder pauschalierter Ersatz (18,89 Euro)
DSG 2000 - Betroffenenrechte
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Löschung/Richtigstellung (§ 27)
Richtigstellungspflicht des Auftraggebers
Frist von 8 Wochen bei Richtigstellungsantrag eines Betroffenen
betrifft auch unvollständige Daten, veraltete Daten, irreführende Daten
nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen
Beweislast der Richtigkeit von Daten, wenn Löschung verweigert wird, liegt beim Auftraggeber (Ausnahmen: Verarbeitung erfolgt ausschließlich gem. Betroffenenangaben oder gesetzliche anders angeordnet)
Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen,
Location-Based-Services, Smartphone-Daten)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Betroffenenrecht - Widerruf / Widerspruchfreiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9)
Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich
- Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung (typischer Internet-Anwendungsfall, etwa bei Google-Street-View)
- das Recht Daten zu verarbeiten (etwa Gewerbeberechtigung) ist keine gesetzliche Anordnung im Sinne des DSG
- Widerspruchsrecht besteht auch bei gegebener Zustimmung!
Daten sind bei gültigem Widerspruch zu löschen
DSG 2000 - Betroffenenrechte
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Entscheidungen Widerspruch- bei gesetzlich angeordneten Datenverarbeitungen ist
Widerspruch nicht anwendbar
OGH 6Ob195/08g 1.10.2008- Löschung nach §28 (2) DSG 2000 voraussetzungslos
und unbegründet bei öffentlichen Dateien möglich- Wirtschaftsauskunftsdienste betreiben öffentliche
Dateien
siehe auch DSK K211.593/0011-DSK/2005 29.11.2005
- Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftdiensten
- Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde
DSG 2000 - Betroffenenrechte
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Weitere DSG-Bestimmungen
Sicherheitsverpflichtung
Schadenersatz
Strafbestimmungen DSG 2000
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Sicherheitsbestimmungen (§ 14)
Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:
Stand der Technik entsprechend
wirtschaftlich vertretbar
angemessenes Schutzniveau muss erreicht werden
In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch,
das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 11/2010 gilt Version 3.1 als Informations-
Sicherheitshandbuch
Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften!
DSG 2000 - Sicherheitsbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen
- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten
- Dokumentationspflicht zur Kontrolle und Beweissicherung
- Protokollierungspflicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Protokollierungsanforderungen I (§ 14)
Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z 7)
Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)
betrifft auch Abfragenmüssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"
betrifft nur auskunftspflichtige DatenanwendungenÜbermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren
DSG 2000 - Sicherheitsbestimmungen
© Hans G. Zeger 2013
Protokollierungsanforderungen II (§ 14)
- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)
- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter
- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind
- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen
- Frühere Löschung zulässig, wenn betroffene Datenanwendung ebenfalls gelöscht ist
DSG 2000 - Sicherheitsbestimmungen
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Haftung bei bei Datenmissbrauch
OGH Entscheidung (9 Ob 126/12s 16.11.2012)
Ausgangslage
Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen.
Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden.
Die Aktion führte zur fristlosen Entlassung des Mitarbeiters.
TZ B verlangt Unterlassungsklage
TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist.
Sicherheitsmaßnahmen - Haftung
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Sicherheitsmaßnahmen - Haftung
Haftung bei bei Datenmissbrauch II
OGH Entscheidung (9 Ob 126/12s 16.11.2012)
Entscheidung
HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen.
Eingriff in IT-System ist Besitzstörung
Eingriff war im Interesse der TZ A
Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen
Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A
Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Haftung bei fehlendem Zugriffsschutz II
OGH Entscheidung 6 Ob 25/13i 27.2.2013
Sachverhalt:Ein Arzt ließ seinen PC bei Verlassen seines Dienstzimmers ungesichert eingeschalten und ermöglichte das Abrufen der Krankenakte durch andere im Zimmer aufhältige Personen.
Entscheidung:Der unauthorisierte Zugriff auf die Patientenakte wird als Störhandlung qualifiziert, die nicht nur der unmittelbare Störer, sondern auch der Arzt, der diese Handlung ermöglichte zu verantworten hat.
OGH verweist ausdrücklich auf 9 Ob 126/12s 16.11.2012 (Redaktionsentscheidung)
VO SS2013 - Juridicum
Sicherheitsmaßnahmen - Haftung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Welche Rechtsmittel / Sanktionen sind bei Verletzungen des DSG möglich?
- Unterlassungsanspruch- bei öffentlich-rechtlich tätigen Auftraggebern
(Behörden, ...):vor der Datenschutzkommission (Entscheidungen jedoch nicht direkt durchsetzbar)
- bei privat-rechtlich tätigen Auftraggebern (Unternehmen, ...):Auskunftsfragen des Betroffenen (vor DSK, exekutierbar)alle anderen Fragen: vor den Zivilgerichten (LG)
- Schadenersatz- Ersatz materieller und "immaterieller" Schäden,
Zivilgerichte (LG)- strafrechtliche Verfolgung- Verwaltungsübertretung
- BG gegen den unlauteren Wettbewerb (UWG)
DSG 2000 - Kontroll- & Strafbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Schadenersatz (§ 33)schuldhaftes Verhalten notwendig
Verletzung von Bestimmungen des DSG 2000, tatsächlich erlittener materieller Schaden ist zu ersetzen
bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung.Entschädigungsanspruch ist nicht beziffert, es wird aber auf das Mediengesetz Bezug genommen [MedienG § 7: bis 20.000 Euro]
Bei Veröffentlichungen in einem Medium gilt wie bisher das Mediengesetz
Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen (es muss eine Datenanwendung vorliegen!)
DSG 2000 - Kontroll- & Strafbestimmungen
Webseiten, Newsletter MedienrechteMail, sonstige Informationsdienste, Infrastruktur DSG 2000
wenn jedoch ISP (Internet Service Provider) TKG 2003 + DSG 2000
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG - Schadenersatz
OGH 6 Ob 275/05t 5.12.2005 ("Verdienstentgang")
Ausgangslage- Anwalt gelangte wegen Verzug der Rückzahlung eines
Bürgschaftskredits auf UKV-Liste der Banken
- Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang 70.000,- EUR)
- Anwalt forderte von Bank Schadenersatz in Höhe von 30.000 EUR
OGH-Entscheidung- Eintrag ohne vorherige Verständigung unzulässig
- OGH beruft sich ausdrücklich auf DSK-Bescheid
- Schadenersatz besteht daher zu Recht (zugesprochen 25.000 EUR)
- Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Schadenersatz
OGH 6 Ob 247/08d 17.12.2009 ("Bonitätsinformationen")
Ausgangslage- Betroffener wurde bei angeblich unzulässiger Mülldeponierung
gefilmt- privater Wachdienst forderte 100 Euro "Entschädigung",
Forderung wurde Inkassodienst übergeben- nach Weigerung der Zahlung wurde Zahlungsanstand an
Wirtschaftsauskunftsdienst gemeldet- Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts
Entscheidung (rechtskräftig)- Eintrag ohne vorherige Verständigung ist rechtswidrig- Eintragung geeignet die Kreditwürdigkeit zu beschädigen- auch wenn kein unmittelbarer Schaden nachweisbar, besteht
Anspruch gem. § 33 DSG- Betrag von 750,- Euro in Hinblick auf geringe Zahl der
Datenübermittlungen angemessen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Schadenersatz
LG Innsbruck 12 Cg 72/10h 4.1.2011 ("Mehrkosten")
Ausgangslage- Diverse Firmen (Mobilunternehmen, Möbelhaus,
Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab
LG-Entscheidung- Verwendete Daten stammen aus Exekutionsdatenbank der
Justiz
- abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...)
- 1.000,- Euro immaterieller Schadenersatz wegen Kreditschädigung
- mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt
- Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)
- Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer
Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht
Strafausmaß: bis ein JahrDelikt ist Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiärbetrifft berufsmäßig mit Daten Beschäftigte und andere
DSG 2000 - Strafbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG-Strafbestimmung als totes Recht?
Anzeigen Gerichtsverfahren Urteile2006 20 BAZ 20 ST 11 BG 13 LG 02007 20 23 8 5 02008 68 BAZ+ST 2 1 02009 10 BAZ 5 ST 2 1 12010 - - - - 02011 - - - - -
Quelle: Auskünfte des BMJ auf parlamentarische AnfragenBAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden
DSG 2000 - Strafbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Strafbestimmungen bei öffentlich-rechtlichen Organen
Missbrauch der Amtsgewalt (§ 302 StGB)Strafrahmen: bis 5 Jahre
Verletzung des Amtsgeheimnisses (§ 310 StGB)
Strafrahmen: bis 3 Jahre
denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)
Strafrahmen: bis 3 Jahre
Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG 2000 - Kontroll- & Strafbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]
- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer
DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines
rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)
Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)
Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 13. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt
DSG 2000 - Strafbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.
Strafrahmen: bis 10.000,- Euro
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]
neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)
Strafrahmen: bis 500,- Euro
Verfallbestimmungen § 52 Abs. 4Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden
© Hans G. Zeger 2013
VO SS2013 - Juridicum
mögliche Anwendbarkeit auf unsere Beispiele
- Private Schuldnerfahndung ("seastar"):rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)Bloßstellen des Betroffenen ? (Medienrecht)widerrechtlich veröffentlicht § 1/§ 8 ? (§ 51 Strafbestimmung)
- Telefonbuchdaten mit Luftbild verknüpft:fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)
- Diskussionsforum wird fehlerhaft veröffentlicht:nicht Beachten von Sicherheitsmaßnahmen § 14 ? (§ 52 (2) Verwaltungsübertretung)
- Verwertung der US-Straftäterdatei in Österreich:fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)
DSG 2000 - Kontroll- & Strafbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Anwendbarkeit auf unsere Beispiele II
- Einbindung des LikeIt-Buttons ohne Zustimmung des Benutzers:rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)Bloßstellen des Betroffenen ? (Medienrecht)
- Veröffentlichung von Webzugriffen (Webstatistiken):rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)Bloßstellen des Betroffenen ? (Medienrecht)
- Veröffentlichung von Veranstaltungsanmeldungen:rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)
DSG 2000 - Kontroll- & Strafbestimmungen
© Hans G. Zeger 2013
ARGE DATEN
Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden?
(1) Eignung
Die Verwendung von Daten muss geeignet sein um ein bestimmtes, konkretes Ziel (Zweck) zu erreichen.
(2) Erforderlichkeit
Es gibt keine weniger invasive Lösung zur Erreichung des bestimmten Ziels (Zweckes).
(3) Verhältnismäßigkeit
Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte).
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Privatsphäre-Bestimmung
E-CommerceG
sonstige Bestimmungen
Weitere Bestimmungen
TelekommunikationsG 2003
Weitere Entscheidungen/Beispiele
© Hans G. Zeger 2013
VO SS2013 - Juridicum
§ 1328a ABGB Privatsphärebestimmung(1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung.
Abs.2 definiert Substitutionsklausel
- Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen
Schutz der Privatsphäre - §1328a ABGB
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Änderungen durch § 1328a•Auffangtatbestand für bisher nicht erfasste Verletzungen•Schadenersatz für "immaterielle" Schäden
Drei Verletzungsarten•Eingreifen (Eindringen in die Privatsphäre)•Offenbaren an Dritte (nicht nur Öffentlichkeit)•Verwerten (wirtschaftlicher Vorteils durch Kenntisse aus
Privatsphäre)
Voraussetzungen für Schadenersatz nach § 1328a
•Rechtswidrigkeit•Verschulden (leichte Fahrlässigkeit genügt)•Erheblicher Eingriff
Schutz der Privatsphäre - § 1328a ABGB
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Höhe des Schadenersatzes•keine grundsätzliche Beschränkung der
Entschädigungshöhe•Orientierung am Medienrecht•keine Untergrenze wie im ursprünglichen Entwurf
vorgesehen
Ausnahmen•Veröffentlichungen in Medien sind nicht erfasst
( Mediengesetz)•Betriebs- und Geschäftsgeheimnisse sind ausgenommen
( §§ 122-124 StGB)•speziellere Regelungen gehen vor (z.B. § 33 DSG)
Im Internet wird die Bestimmung dann Anwendung finden, wenn keine
Datenanwendung vorliegt
Schutz der Privatsphäre - § 1328a ABGB
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Schutz der Privatsphäre - Beispiele
Beispiele für Eingriffe in die Privatsphäre• private Videoüberwachung, Personenortung,
Radarüberwachung• Bekanntgabe persönlicher Daten im Internet• Illegales Abhören von Telefonaten oder
Gesprächen• Hacken von privaten Computern• Missbrauch von Foto-Handys• Überwachung des Standortes eines
Mobiltelefonnutzers ohne dessen Zustimmung• Offenbaren/Verwerten von Urteilen
• BG Josefstadt 6C188/09p 8.7.2009 EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog(begründet auf § 1328a ABGB "Cyberstalking")
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Eurobarometerumfrage 2011
Datensicherheit und Internet (EU27 / AT / max / min)
- 66% der Befragten verwenden Internet
- Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT
- achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE
/ 13% BG
- Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO
- suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT
/ 24% EE / 8% RO
- verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT
/ 6% MT
- keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL
/ 34% LT
Länder mit höchsten Internet-Datenschutzbewusstsein:Deutschland, Niederlande, Schweden, Österreich
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Kommunikations-Rechtsrahmen der EU- 2002 verabschiedet, 19.12.2009 geändert (2009/136/EG)- in Ö durch TKG 2003 (BGBl I 70/2003) umgesetzt,
Änderungen 21.11.2011 in (BGBl I 102/2011) umgesetzt- wir beschränken uns auf 2002/58/EG und 2002/22/EG
(Kommunikations-Datenschutz-RL & Universaldienst-RL) bzw. 12. Abschnitt des TKG 2003
Ziel der K-DS-RL war Regelung spezifischer Kommunikations-Datenschutzanforderungen und -
situationen
- 2006 durch Vorratsdatenspeicherungsrichtlinie (2006/24/EG) ergänzt (in Ö 5/2011 umgesetzt, BGBl I 27+33/2011)
- wichtigste Änderungen vom 19.12.2009/EG / 21.11.2011/TKG
- Verständigungspflicht der Provider bei Datenverlust (2002/58/EG)
- Ausschlußmöglichkeit von Urheberrechtsverletzern nach "unabhängigen" und "fairen" Verfahren (2002/22/EG)
- Zustimmungspflicht bei "Cookie"-Einsatz (2002/58/EG)
elektronische Kommunikation und Datenschutz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wer/Was fällt unter das TKG 2003? (§ 3 TKG 2003)Betreiber(Bereitsteller/Anbieter) von Kommunikationsnetzen und/oder Kommunikationsdiensten
Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen
Kommunikationsdienst = gewerbliche Dienstleistung mittels Übertragung von Signalen über Kommunikationsnetze
elektronische Kommunikation und Datenschutz
Betriebe, die auch Telefonvermittlungsanlagen betreiben oder Datenleitungen zur Vernetzung ihrer Standorte nutzen, fallen nicht darunter!
Einzelne Regeln betreffen alle Nutzer elektronischer Dienste z.B elektronische Werbung (§ 107), Löschungs-verpflichtung fehlerhaft zugestellter Nachrichten (§ 93 Abs. 4)
TKG 2003 regelt Datenschutzrechte der Benutzer (Nutzer/ Teilnehmer) gegenüber Betreibern (Bereitstellern/Anbietern)!Neu mit Novelle 102/2011: Dienste der
Informationsgesellschaft sind von Datenschutzregeln betroffen (§ 96 Abs. 3)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSG 2000• RL 95/46/EG• alle personen-
bezogenen Daten• alle Auftraggeber /
Betroffene• subsidiär
anwendbar
TKG 2003• RL 2002/58/EG• Stammdaten,
Verkehrsdaten, Inhaltsdaten, Standortdaten
• Betreiber iS TKG / Teilnehmer/Nutzer(Benutzer)
• Datensschutz-Bestimmungen §§ 92-107 + § 108 (Strafbestimmung)
Vergleich TKG / DSG
elektronische Kommunikation und Datenschutz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Geschützte Datenarten (§ 92 TKG 2003)Stammdaten
Name, akademischer Grad, Anschrift, Teilnehmernummer, Konaktdaten, Vertragsdaten, Bonität, "öffentliche IP-Adresse" wenn Teilnehmer fix zugeordnet
Verkehrsdatenz. B. Rufnummern, Datum, Zeit, Dauer, leistungsabhängige Entgelte, Funkzelle, inkl. "Zugangsdaten"
Inhaltsdatenz. B. das geführte Telefonat, Fax, SMS, eMail-Inhalt, Webinhalte, ...
Standortdatengenaue Position einer Kommunikationsendeinrichtung (kann bis auf wenige Meter genau bestimmt werden), im TKG nur für Kommunikationsnetze und -dienste definiert, nicht für Dienste der Informationsgesellschaft
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Weitere Dienste- und Datenarten definiert(§ 92 TKG 2003)Im Zuge der Regelung der Vorratsspeicherung wurden zahlreiche weitere Begriffe eingeführt
- Teilnehmerkennung (Abs. 3 Z 2a) - e-Mail Adresse (Abs. 3 Z 2b)- erfolgloser Anrufsversuch (Abs. 3 Z 8a)- elektronisches Postfach (Abs. 3 Z 11)- Internet Telefondienst (Abs. 3 Z 13)- Internet Zugangsdienst (Abs. 3 Z 14)- elektronische Post [jede Form elektronisch versandte
Nachrichten] (Abs. 3 Z 10)- e-mail, e-Mail-Dienst [auf Simple Mail Transfer Protocol,
SMTP beschränkte elektronisch versandte Nachrichten] (Abs. 3 Z 12,15)
TKG 2003 - Datenschutzbestimmungen
Welche Datenart sind einzelne IP-Pakete oder Weblinks?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Kommunikationsdaten - Beispiel
Was ist ein Weblink / eine URL ?
- http://www.orf.at
- https://eservices.wuestenrot.at/eService/screen/ anmeldung_ks210?_view=KS210_input_Komm&KS210_input_Komm_ausweis_art=RP&KS210_input_Komm_ausw_nr=4711&KS210_input_Komm_ausw_behoerde=BPD+Gossing&KS210_input_Komm_auswdat_tag=01&KS210_input_Komm_auswdat_monat=01&KS210_input_Komm_auswdat_jahr=33&KS210_input_Komm_handy=0676+454545+&KS210_input_Komm_email=campus%40gmx.at&KS210_input_Komm_kennwort=MANADA&KS210_input_Komm_vertragsnr=&KS210_input_Komm_newsletter=0&checkAGB=true&KS210_input_Komm_agb=on&KS210_input_Komm_KS210_input_Komm_forward=Weiter&_submit=true- Google-URL:http://o-o.resolver.o.213.235.197.221.3d6303155122db29.l.google.com/
- Newsletter-URL:http://newsletter.avenum.com/app/include/ctr.php?ID=5O6619O128O214&email=hans.zeger@e-monitoring.at http://news.wko.at/sys/rd.aspx?sub=Q1PZGGK_30WCLYN&lnk=G4DT24B
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Kommunikationsgeheimnis (§ 93 TKG 2003)
schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche[Stammdaten im Rahmen des DSG 2000 geschützt]
Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003)
Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4)
Ausnahmen (Abs. 3):- Rückverfolgung von Notrufen- Aufzeichnungen im Rahmen einer Fangschaltung- Überwachung, Auskunftserteilung bei
Nachrichtenübermittlung (inkl. Vorratsdaten)- wenn technisch für Diensterbringung erforderlich (z.B.
Mailbox)
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutz-Grundsätze (§ 96 TKG 2003)Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1)
Übermittlung (Abs. 2) nur, wenn - notwendig für Diensterbringung oder - mit Zustimmung des Betroffenen für
Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar)
Löschung (Abs. 2) der Daten sobald wie möglichz. B.: Verkehrsdaten sind zu löschen, wenn für Dienst
oder Abrechnung nicht mehr erforderlich[Ausnahmen der Vorratsspeicherung sind zu
beachten §§ 99, 102a]
nähere Regelung der Datenverwendung in AGB möglich
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutz-Grundsätze (§ 96 TKG 2003) IIErweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellscht (siehe ECG) (Abs. 3)
Informationspflichten: - welche personenbezogene Daten Betreiber/Anbieter
ermittelt, verarbeitet und übermittelt (betrifft auch Standort-/Geo-Daten)
- Rechtsgrundlage und Zweck der Datenverwendung- Speicherdauer der Daten
Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder übermitteln von Cookies, ..]
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
Datenschutz-Grundsätze (§ 96 TKG 2003) IIIAbs. 3 - Fortsetzung
Ermittlung von Daten nur, wenn - Teilnehmer oder Nutzer Einwilligung erteilt hat oder - der alleinige Zweck die Übertragung einer Nachricht
im Kommunikationsnetz ist oder- wenn dies unbedingt erforderlich ist, damit ein
Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services, ...]
TKG 2003 - Datenschutzbestimmungen
VO SS2013 - Juridicum
© Hans G. Zeger 2013
Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook-Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin):
xxxx.xxxx.xx
Schwangerschaftsnetz.tld
Technische Betrachtung – Facebook Like
Websites mit Facebook Like Plugin:
Glaubensgemeinschaft.tld
PolitischePartei.tld
ID: dTrGTwDiSl75GjJ73KORYiR1
Facebook.com
Websiteaufrufe automatische
Mitaufrufe – einzigartige ID wird jedesmal übermittelt
in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1
VO SS2013 - Juridicum
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen Internettechniken
Einsatz von Tracking-Techniken - Tracking: Instrumente um Benutzer(verhalten) zu
identifizieren, zu verfolgen und zu analysieren
- verschiedenste Namen/Techniken: individualisierte Links, Cookies, Web-Beacons, Web-Bugs, Spyware, ...
Typische Tracking-Informationen- Wie lang, wann wurde welche Seite, in welcher
Reihenfolge angesehen ("Surfverhalten")?
- Welche Waren/Artikel wurden in welcher Kombination bestellt?
- Was interessiert den Benutzer (Themen)?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen Internettechniken
Tracking II
Probleme- Umfang der erhobenen Daten (inkl. sensibler Daten) - meist
bestimmbare personenbezogene Daten- Genauigkeit der Zuordnung zu bestimmten Personen
(Benutzer oder nur Teilnehmer)- Durchschaubarkeit (wird sich auch an Kenntnis des
Zielpublikums orientieren müssen)- Zustimmung zu den Tracking-Maßnahmen (ausdrückliche /
konkludente Zustimmung)- webübergreifendes / unternehmensübergreifendes Tracking- Vermeidung der nachträglichen Benutzeridentifikation
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Demobeispiel Onlinetracking
Was passiert bei Aufruf einer Website?
Beispiel: http://1way2sex.net
Was wurde tatsächlich aufgerufen?m1.webstats.motigo.com, vote4me.de, www.googleanalytics.com, www.toplistenservice.de, www.privatamateure.com, www.cyonix.to, ...
Betreiber dieser Server wurden vom Benutzer-Interesse an http://1way2sex.net informiert,
kann vom Benutzer nicht beeinflusst werden
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen Internettechniken
Cookie-VerwendungPrivacy-Gefährdungspotentiale- gemeinsame Nutzung des Computers durch mehrere
Personen (etwa wenn Passwörter oder persönliche Angaben in Coockies hinterlegt werden)
- Ausspähen von Interessensprofilen
- Einsatz von Cookie-Servern / Cookies in Werbebannern
- Verwendung über Servergrenzen hinweg
2002/58/EG (Kommunikations-Datenschutzrichtlinie)
- Cookies sind grundsätzlich zulässig (EG 25)
- dürfen nicht überrumpelnd eingesetzt werden
- Bei Übergang auf Seiten mit Cookies ist das anzuzeigen
- Verwendung von Cookies schon auf der "Homepage" wäre unzulässig
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Stammdaten (§ 97 TKG 2003)
Name, akademischer Grad, Anschrift, Teilnehmernummer, Information über Art des Vertrags, Bonität, "öffentliche IP-Adresse" (unter bestimmten Umständen)
Verwendungszweck:Handhabung des Vertrages mit dem TeilnehmerErstellung von TeilnehmerverzeichnissenErteilung von Auskünften an Notrufträger
Löschungspflicht nach Beendigung der Rechtsbeziehungen!
[Weitreichender als bei sonstigen Auftraggebern]Ausnahmen: Entgeltverrechnung, laufende
Beschwerden oder gesetzliche Verpflichtungen
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verkehrsdaten (§ 99 TKG 2003)besonders schutzwürdig
- „Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“
grundsätzlich keine Speicherung, Ausnahmen:- Verrechnung- Entscheidung in Streitfällen – Übermittlung an die
Schlichtungsstelle- seit 1.4.2012 Vorrats-Speicherpflicht für Überwachung
bis 6 Monateansonsten: keine starre Frist für die Speicherung
Auswertungsverbot- aber: kann durch Zustimmung des Teilnehmers für Marketingzwecke und Dienste mit Zusatznutzen erfolgen
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Inhaltsdaten (§ 101 TKG 2003)
Inhalte übertragener Nachrichten
keine Speicherung zulässig, außer wenn die Speicherung Dienstmerkmal ist (z. B. Mailbox)
unverzüglich nach Diensterbringung zu löschen
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Standortdaten (§ 102 TKG 2003)
Komplizierte Regelung „andere Standortdaten als Verkehrsdaten“
- Information über Funkzelle: Verkehrsdaten- genauere Ortsangaben sind: „andere Standortdaten“
Verarbeitung nur- anonymisiert (etwa zur Ressourcenplanung) oder- mit jederzeit widerrufbarer Zustimmung des Betroffenen
("location based services")
muss auch zeitweise deaktivierbar sein
Datenart im Zusammenhang mit Anbietern von Kommunikationsdiensten im Sinne des TKG 2003 schwindende
Bedeutung, da "location based services" meist über Drittanbieter ("Apps") erbracht werden
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
SPAM-ProblemWas ist Spam?
- unerbetene elektronische Nachricht: unerwünschte Werbung (EU, RL Art. 13), in Österreich zusätzlich Massennachricht
Umfang von Spam- heute: 70-80% aller Mails Spam
(2010: 90+%, 2004: 75%, 2001: 7%)
- Relation 2001: auf 14 erwünschte Mails kam ein Spam-Mailheute: auf ein erwünschtes Mail kommen 3 Spam-Mails
- Response von 1:1,000.000 reicht für "erfolgreiche" Aussendung7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam
Gefährdungspotentiale- Belästigung mit unerwünschen Inhalten
- Fehler bei Annahme/Ablehnung von Mails
- Beschränkung der Kommunikation aus Angst vor Spam
- Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust)
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
TKG 2003 - Datenschutzbestimmungen
SPAM-Problem - Ausmaß
Quelle: Symantec
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Unerbetene NachrichtenKommunikations-Datenschutzrichtlinie 2002/58/EG Art.13
- RL sieht Opt-In bei Werbung vor- umfasst automatische Anrufsysteme ohne menschlichen Eingriff
(automatische Anrufmaschinen), Faxgeräte, elektronische Post- Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte- trifft keine Aussage zu eMail-Massensendungen oder "normalen"
Telefonanrufen
Komplexe Regelung in TKG 2003 § 107 - sieht ebenfalls Opt-In für Werbung vor- umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl.
SMS- Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte,
jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten- bei elektronischer Post & SMS zusätzlich jede Massensendungen
verboten- zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa
Meinungsbefragung
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
TKG 2003 - Datenschutzbestimmungen
Unerbetene Nachrichten IIRegelung in TKG 2003 § 107
- Identität des Absenders muss offen gelegt werden- Möglichkeit zur Einstellung der Zusendungen muss angeboten werden- bei erlaubten Werbeanrufen, darf
Anrufnummer weder unterdrückt, noch verfälscht sein,ECG-Bestimmungen nicht verletzt werden,nicht zum Besuch ECG-widriger Webseiten aufgefordert werden
- Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis 37.000 Euro bei Spam, 58.000 bei Anrufen), 2012 (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro
- Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht
Sonstige Maßnahmen gegen Spam- anwaltliche Abmahnungen: Unterlassungsanspruch
- Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation
Regelung gilt für alle, nicht nur Betreiber!
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Sonstige Datenschutzbestimmungen im TKG
- Einrichtung und Betrieb technischer Überwachungsvorrichtungen (§ 94)
- Einzelentgeltnachweis (§ 100)kostenloser, elektronischer Einzelentgeltnachweis, auf Verlangen entgeltfrei in Papierform
- Telefonverzeichnis (§ 103)taxative Aufzählung der Datenarten, Verbot der Auswertung der Teilnehmerdaten (für den Anbieter)
- Anzeige der Rufnummer (§ 104)- Unterdrückung des Versendens einer Rufnummer (§ 104)
- Anrufweiterleitung (§ 105)- Fangschaltung (§ 106)
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Sicherheit im Netzbetrieb (§ 95 TKG 2003)
2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4)
- grundsätzliche Anforderung ähnlich der allg. DS-Richtlinie:angemessen, Stand der Technik, wirtschaftlich vertretbar
- in TKG § 95 Verweis auf DSG § 14
zusätzlich: - Informationspflicht des Nutzers/Teilnehmers über
besondere Sicherheitsrisken und deren Vermeidung- Information über Sicherheitsrisken hat kostenfrei zu
erfolgen (abgesehen von Empfangskosten)
Was ist Stand der Technik im Internet?- im Zusammenhang mit Internet sind SSL128 (TSL,
"https://") und VPN (Virtual Private Network) sind "Stand der Technik"
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Strafbestimmung TKG 2003 § 108Verletzung von Rechten der Benützer
Strafandrohung für:- Information an Unberufene über Tatsache und Inhalt eines
Telekommunikationsverkehrs weitergibt (bzw. dazu Gelegenheit gibt, selbst wahrzunehmen)
- Nachricht fälscht, unrichtig wiedergibt, verändert, unterdrückt, unrichtig vermittelt oder unbefugt dem Empfangsberechtigten vorenthält
- Strafrahmen: Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen
- Täter ist nur auf Antrag des Verletzten zu verfolgen.- betrifft Betreiber und sein Pesonal (§ 93 Abs. 2)
- Strafdrohungen für sonstige Nutzer von Kommunikationsdiensten in einem umfassenden Cybercrimepaket definiert (u.a. § 119 StGB)
TKG 2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wo lagen die Probleme der TKG-Bestimmungen vor 11/2011?
- strenge Datenschutzbestimmungen, aber eng definierter Anwendungsbereich (Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten)
- reine Internet- und Smartphone-Dienste (etwa Geo-Apps, Communities/Netzwerke, Web2.0, Blog-Betreiber, "Portale", Online-Shops, Auktionsplattformen, Online-Datenbanken, ...) sind nicht erfasst
- für diese Dienste wurde zwar das E-Commerce-Gesetz geschaffen (Grundlage Richtlinie 2000/31/EG), hier finden sich aber keine Datenschutz-Bestimmungen
- für diese Dienste gilt somit das DSGunter Berücksichtigung - sofern anwendbar - die Kommunikations-Datenschutz-RL 2002/58/EG
eCommerce - Datenschutzbestimmungen
mit TKG-Novelle
102/2011
weitgehend saniert,
teilweise stre
nger als EG-
Richtlinie 2002/58/EG id
F
2009/136/EG
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grundlagen Österreich- E-Commerce-Gesetz – ECG, BGBl I 152/2001- Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG)- Mediengesetz, BGBl I 49/2005, 151/2005- Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I
120/2005(geregelt im Unternehmensgesetzbuch)
Grundlagen EU- EG-Richtlinie 2000/31/EG "Richtlinie über den
elektronischen Geschäftsverkehr"
Regelung- regeln diverse Informations- und Auskunftspflichten bei
Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2
Dienste der Informationsgesellschaft
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Geltungsbereich §§ 1ff ECG- geregelt wird elektronischer Geschäfts- und Rechtsverkehr- Zulassung von Diensteanbietern, Informationspflichten,
Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§ 1)
- von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§ 2)
-Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere
- Online-Vertrieb von Waren und Dienstleistungen,- Online-Informationsangebote,- Online-Werbung,- elektronische Suchmaschinen,- Datenabfragemöglichkeiten,- Dienste, die Informationen über ein elektronisches Netz
übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, eMail-Dienste)
E-Commerce-Gesetz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Geltungsbereich §§ 1ff ECG II- Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische
Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt
- Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch- Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken
handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören
OGH 4Ob219/03i 1.6.2005 ("Online-Sexdienste")- Angeboten wurde Dialerzugang zu Porno-Webcams, geklagt
wurde mangelnde Auszeichnung gem. ECG
Entscheidung- Dienst im Sinne § 3 Z 1 ECG liegt bei Datenübertragung im Weg
einer bidirektionalen Punkt-zu-Punkt-Verbindung vor- Nutzer kann Dienst interaktiv nach seinen Bedürfnissen (zB
betreffend Zeit und Ort der Nutzung sowie Art des abgerufenen Inhalts) steuern
- trifft auf Live-Cam-Darbietungen zu
E-Commerce-Gesetz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Allgemeine Informationspflichten § 5 ECG
leicht verständliche und eindeutige Information zu:- Personenname oder Firmen-/Organisationsname- geographische (ladungsfähige) Anschrift- Kontaktdaten (inkl. eMail-Adresse)- evtl. zuständige Aufsichtsbehörde- evtl. FN-Nummer und Firmenbuchgericht- evtl. berufsrechtliche Vorschriften und Zugang- evtl. UID-Nummer- klare Preisauszeichnung!- Sonstige Informationspflichten bleiben unberührt!
Verstoß:- Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro)- Wettbewerbsverletzung § 1 UWG
Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop)
E-Commerce-Gesetz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Zugang elektronischer Erklärungen (§ 12 ECG)
eMail gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann
- kann unterschiedlich bei Unternehmen und Privatpersonen sein
- Aber: Risiko der Übermittlung und des vollständigen Zugangs einer eMail beim Empfänger trägt der Absender
- Eventuell Prüf- und Sorgfaltspflichten des Empfängersregelmäßige Nachschau in eMailbox, Sicherstellung des Betriebs (Providerhaftung!)
Gegenwärtige eMail-Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen
- Zustelldienste mit elektronischer Signatur und personalisierten URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. http://www.e-zustellung.at/
E-Commerce-Gesetz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
sonstige spezifische Diensteanbieter(§§ 13-17 ECG)
- Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa eMail für die Dauer der Diensterbringung
- Suchmaschinenbetreiber (§ 14)- Caching- und Proxy-Dienste (§ 15)- Hosting-Dienste (§ 16) ("Hosting-Provider")
umfasst Bereitstellung von Speicherplatz für Webseiten, Blogs, aber auch nicht-öffentliche Datenbestände
- Link-Dienste (§ 17)Bereitstellen eines Informationszugangs durch Links
E-Commerce-Gesetz
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verantwortung spezifischer Diensteanbieter(§§ 13-14 ECG)
- Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch technisch erforderliches Zwischenspeichern, etwa eMail
- Suchmaschinen (§ 14)
Keine Verantwortung unter bestimmten Umständen:1. die Übermittlung/Abfrage nicht veranlasst,2. den Empfänger der übermittelten/abgefragten
Informationen nicht auswähltund
3. die übermittelten/abgefragten Informationen weder auswählt noch verändert.
Auskunftspflicht im Fall § 13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung
gerichtlichstrafbarer Handlungen
e-commerce - Diensteanbieter
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verantwortung spezifischer Diensteanbieter II(§ 15 ECG)
- Zwischenspeicherung (Caching) von Informationen (§ 15)
Keine Verantwortung unter bestimmten Umständen:1. Keine Änderung der Information,2. Bedingungen zum Informationszugang werden beachtet
[z.B. kein allgemein zugänglich machen gesperrter Information],
3. Aktualisierung gemäß "Industriestandard" (?!),4. Technologien zum Sammeln von Informationen lt.
"Industriestandard" dürfen nicht beeinträchtigt werden (??) und
5. Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat
e-commerce - Diensteanbieter
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verantwortung spezifischer Diensteanbieter III(§§ 16-17 ECG)
- Hosting / Housing von Diensten (§ 16)Dienstleister speichert vom Nutzer eingegebene Daten
- Unternehmenswebsite wird auf Server eines ISP verwaltet
- Online-Händler mietet sich auf Webshop-Plattform ein- Leser gibt Kommentar in Onlineforum einer Zeitung ab- Benutzer bewertet Hotel, Gasthaus, ... auf einer Bewertungsplattform, trägt sich in einem Gästebuch ein
- Benutzer verwendet Online-Office-Services oder -Fotobearbeitungsdienste oder ...
- Benutzer hat Social-Account (auf Facebook, ...) und berichtet
- Benutzer "zwitschert" über "Gott und die Welt" auf Twitter
- Benutzer beteiligen sich an einem Themenforum- Unternehmen verlagern ihre Dienste in eine "Cloud"
- Links auf fremde Dienste (§ 17)- Website verlinkt auf andere (fremde) Websites
e-commerce - Diensteanbieter
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Verantwortung spezifischer Diensteanbieter IV(§ 18 für §§ 16-17 ECG)
Keine Verantwortung unter bestimmten Umständen:1. sofern keine Kenntnis des rechtswidrigen Inhalts und
auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder
2. bei Kenntnis der rechtswidrigen Tatsache unverzügliches tätig werden zum Entfernen des Hinweises/der Inhalte
Erweiterte Auskunftspflichten bei Hosting siehe Abschnitt Auskunftspflichten
e-commerce - Diensteanbieter
Aber:- keine generelle Überwachungspflicht, es müssen keine
aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden
- keine vorbeugenden Aufzeichnungspflichten (es erfolgte auch keine Regelung im Rahmen der Vorratsspeicherung)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
sonstige Datenschutzbestimmungen
Datenschutzbestimmungen in Einzelgesetzen e-Government-Gesetz (E-GovG)
- schreibt bestimmte technische Verfahren in der Behördenkommunikation vor (Verschlüsselung, digitale Signatur)
- ausführliche Angaben zur Datensicherheit
Gesundheitstelematikgesetz (GTelG)- schreibt bestimmte technische Verfahren in der
Kommunikation der Gesundheitsdienstleister vor- 2012: Regelung der Zugriffe auf Patientenakte [ELGA]
elektronische Rechnungslegung (eBilling)- verlangt digitale Signatur bei elektronischen Rechnungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Weitere Beispiele zu Datenschutzproblemen
- eMail-Verkehr - Versenden von Zusatzinformationen oder personalisierten Links
- News- & Diskussionbeiträge - "System" vergisst nie (Zweck?)
- Personensuchmaschinen - Qualität der verknüpften Informationen
- Fotodaten (Exif) - Versenden von Zusatzinformationen (Zustimmung?)
- Phishing - Diebstahl der (reduzierten) Benutzeridentität unter Vorspiegelung einer falschen Anbieteridentität
weitere Demobeispiele
© Hans G. Zeger 2013
VO SS2013 - Juridicum
TelekommunikationsG 2003
Sicherheitspolizeigesetz
StPO
UrheberrechtsG
E-CommerceG
Vorratsdatenspeicherung
Auskunftspflichten/Überwachung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Vorratsdatenspeicherung (in Ö seit 1.4.2012)Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen
- Verkehrsdaten, inklusive Standortdatenbetroffen sind auch nicht angenommene Kontaktversuche und Anrufe
- Aufzeichnungsverbot der Inhaltsdaten (sehr allgemein gefasst)"keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben" (Art. 5 Abs. 2)
- Speicherdauer von den Mitgliedsstaaten festzulegen:6 bis 24 Monate
- Umsetzungsfrist Telefonie: bis 15.9.2007für Internetaufzeichnungen konnte ein Umsetzungsvorbehalt abgegeben werden, dann verlängerte sich die Umsetzungsfrist bis 15.3.2009
Delikte, wegen denen auf Daten zugegriffen werden darf:
- „schwere“ Straftaten, national definiert (Art. 1)- ebenso bei unzulässigem TK-Gebrauch (ohne
Untergrenze, EG 4)
Aufzeichnungspflichten
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Vorratsdatenspeicherung IIaufzuzeichnende Telefondaten
- Namen und Adressen, Datum, Uhrzeit, Dauer einer Verbindung, Telefonnummern (inkl. IMSI- und IMEI-Nummer), auch zu abgebrochenen/erfolglosen Verbindungsversuchen
- bei Wertkartengeräten: zusätzlich Datum, Uhrzeit, Ort der ersten Aktivierung
aufzuzeichnende Internetdaten- Wer hatte wann welche IP-Adresse genutzt?- Verbindungen zu E-Mail- und Telefoniediensten- zum größten Teil Informationen, die bisher nicht
erhoben/gespeichert werden
Österreich hatte zu den Internetdaten einen Umsetzungsvorbehalt abgegeben
Aufzeichnungspflichten
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Vorratsdatenspeicherung IIIUmsetzung Österreich
- Novelle des TKG 2003 Mai 2011, in Kraft seit 1.4.2012- Speicherdauer 6 Monate (BMI & Kopierindustrie wollten
längere Speicherdauer)- Speicherung soll bei den Betreibern erfolgen, spezifische
Sicherheitsanforderungen (§ 102c TKG 2003)- beschränkter Zugang ("Vier-Augen-Prinzip")- Protokollierungspflicht bei Datenverwendung- Berichtspflicht bezüglich der Protokolldaten an Datenschutzkommission und Nationalrat
- Umsetzung in Österreich erst nach erster Verurteilung durch EuGH
- Juni 2012 VfGH-Beschwerde gegen Vorratsdatenspeicherung
- November 2012 knapp 200 Anfragen zu Vorratsdaten
Vereinbarkeit Vorratsdatenspeicherung mit EU-Grundrechtecharta
- Dezember 2012 VfGH: Vorabentscheidungsverfahren vor EuGH
- Jänner 2013 DSK: Vorabentscheidungsverfahren vor EuGH
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Vorratsdatenspeicherung IV
Delikte, wegen denen Vorratsdaten beauskunftet werden dürfen (in StPO § 135 Abs. 2a geregelt Abs. 2 Z 2 bis 4):
- bei Straftaten mit Freiheitsstrafe von mehr als einem Jahr (Z 3,4)
- mit Zustimmung des Inhabers einer technischen Einrichtung bei Straftaten mit Freiheitsstrafe von mehr als einem halben Jahr (Z 2)
Ausnahmen von der Speicherpflicht:- keine Speicherpflicht für "kleine" Provider § 102 a Abs. 6
TKG 2003 (Umsatzgrenze ca. 300.000 Euro)- keine Speicherpflicht wenn Dienst nur "nebengewerblich"
erbracht wird (Hotels, Cafe mit Internet, ...)- keine Speicherpflicht, wenn Dienst nicht gewerblich
betrieben wird (z.B. alle Unternehmen mit eigenen Mailsystemen, trifft auf etwa 80% der größeren Unternehmen (>50 MA) zu)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Vorratsdatenspeicherung V
Umfang der Aufzeichnung (§ 102a TKG 2003), Auswahl II:
- bei Internet-Zugangsdiensten (Abs 2): Teilnehmerdaten, Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse, Anschlusskennung
- bei Telefon- und Internet-Telefondiensten: Teilnehmerdaten, Anschlusskennung, Dienstart (z.B. Gespräch, SMS, MMS, ...), Beginn-Datum, -Uhrzeit und Dauer des Dienstes
- bei Mobilfunkdiensten zusätzlich: IMSI (Teilnehmerkennung) und IMEI (Gerätekennung), bei Prepaid-Diensten Daten der ersten Aktivierung, Standortkennung (Cell-ID)
- bei E-Mail-Diensten: Teilnehmerdaten, Teilnehmerkennung, Adressen von Absender und Empfänger, Ab- und Anmeldedaten zu Maildienst inkl. öffentliche IP-Adresse, bei Versenden öffentliche IP-Adresse des Absenders, bei Empfang öffentliche IP-Adresse der "letztübermittelnden Kommunikationsnetzeinrichtung"
- auch erfolglose Anrufversuche sind aufzuzeichnen, wenn Betreiber diese Daten erhebt
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Was wird bei einer E-Mail aufgezeichnet?
Sind das die relevanten
Informationen?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Was wird bei einer E-Mail aufgezeichnet? II
weitere nützliche Informationen
wir betätigen uns als Cyber-Cop
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Was wird bei einer E-Mail aufgezeichnet? III
Rechtshilfeverfahren mit Azerbaijan?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Was wird bei einer E-Mail aufgezeichnet? IV
Rechtshilfeverfahren mit USA?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten / Überwachung StPO
Überwachung gemäß StPO (§§ 134–140)Drei Formen der Eingriffs
- Fall 1: "Auskunft über Daten einer Nachrichtenübermittlung"§ 134 Abs. 2 - auch "äußere Rufdatenerfassung"umfasst: "aktuelle" Verkehrs-, Zugangs- und Standortdaten
- Fall 2: "Auskunft über Vorratsdaten"§ 134 Abs. 2a - umfasst: historische Verkehrs-, Zugangs- und Standortdaten (bis sechs Monate alt)
- Fall 3: "Überwachung von Nachrichten"§ 134 Abs. 3 - "[innere] Rufdatenerfassung" umfasst: Inhalt von Nachrichten
Anzuwenden auf Telekommunikationsdienste (gem. TKG) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz)
Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP), ...
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten / Überwachung StPO
Überwachung gemäß StPO (§§ 134–140)
Voraussetzungen für Fall 1 (§ 135 Abs. 2) :- Z 1: Entführungsfall (Verdacht)- Z 2: vorsätzlich begangene Straftat, Freiheitsstrafe von
mehr als sechs Monaten mit Zustimmung des Inhabers der Einrichtung (Aufklärung)
- Z 3,4: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als ein Jahr (Aufklärung, Fahndung)
- Auskunftszeitraum kann sowohl Zukunft, als auch Vergangenheit umfassen, Verlängerung möglich (§ 137 Abs. 3)
Voraussetzungen für Fall 2 (§ 135 Abs. 2a) :analog Fall 1, jedoch nur Z 2 bis 4 (nicht "Entführungsfall")
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten / Überwachung StPO
Überwachung gemäß StPO (§§ 134–140)Voraussetzungen für Fall 3 (§ 135 Abs. 3) :
- wie Fall 1 Z 1, 2 und Z 4:- Z 3 jedoch erweitert: bei vorsätzlich begangener Straftat,
Freiheitsstrafe von mehr als ein Jahr erforderlich oder Verhinderung oder Aufklärung im Rahmen einer kriminellen oder terroristischen Vereinigung oder einer kriminellen Organisation (§§ 278 bis 278b StGB) begangenen oder geplanten strafbaren Handlungen ansonsten wesentlich erschwert wäre unda. Inhaber der technischen Einrichtung dringend verdächtig oderb. verdächtige Person benutzt die technische Einrichtung oder stellt Verbindung dazu her
- Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (§ 137 Abs. 3)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Überwachung gemäß StPO (§§ 134–140)
- Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (§ 137 Abs. 1 StPO)
- Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und Diensteanbieter nach E-Commerce-Gesetz (§ 138 Abs. 2 StPO)Verpflichtung geregelt in der Überwachungsverordnung (§ 94 TKG 2003), Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen, ab 1.4.2012 80% Kostenersatz im Zusammenhang mit Vorratsspeicherung, bei allen Unternehmen
- Anspruch auf Kostenersatz (geregelt in der Überwachungskostenverordnung, ÜKVO)aber: gilt nur für Telekom-Anbieter, für Diensteanbieter nach ECG weder spezifische Regelungen, noch Kostenersatz vorgesehen
Auskunftspflichten / Überwachung StPO
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Überwachung gemäß StPO (§§ 134–140)
- Verständigungspflicht des Beschuldigen (§ 138 Abs 5 StPO)aber: kann aufgeschoben werden, wenn dieses oder anderes Verfahren gefährdet ist
- Einsichtsrecht des Beschuldigten in alle für das Verfahren bedeutsamen Ergebnisse (§ 139 Abs. 1 StPO)
- Einsichtsrecht der sonstigen Betroffenen insoweit sie davon betroffen sind, die Betroffenen sind von diesem Recht zu informieren (§ 139 Abs. 2 StPO)aber: nur insoweit ihre Identität bekannt oder ohne besonderen Verfahrensaufwand feststellbar ist
- Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (§ 140 StPO)aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre
Auskunftspflichten / Überwachung StPO
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten / Überwachung StPO
Seit 1.1.2008 Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Thema "Online-Trojaner" (in Planung?)
Was ist das?- Technisches Instrument, dass es erlaubt Computerinhalte
und -prozesse von der Ferne (Remote) ohne Wissen des Benutzers zu überwachen
- Installation kann vor Ort oder über Datenleitung (Internet) erfolgen, erfordert jedoch immer Manipulation des Computers
- Technik: Key-Logger, Screen-Shots, Dateitransfer, Suchprogramme
Rechtsgrundlage / Diskussionspunkte- Rechtsgrundlage wird vom überwachten Gegenstand
abhängen: Datenverkehr mit der Außenwelt (Kommunikation) oder private Dateien, Notizen, die nicht für Dritte bestimmt sind
- ist das elektronische Aufzeichnen von Tastatureingaben oder Bildschirmanzeigen durch "großen Lauschangriff" (optisches und akustisches nicht-öffentliches Verhalten) abgedeckt?
Auskunftspflichten / Überwachung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten nach dem TKG 2003
Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003)
- Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e)
- Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen
- schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich
Auskunftspflichten TKG 2003
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten nach dem TKG 2003 IIAuskunft an Notrufträger (§ 98 TKG 2003)
- Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6)
- Standortdaten sind schon bei Rufaufbau bekannt zu geben- wenn aktuelle Standortdaten nicht feststellbar, dann auch
Auskunft über letzte bekannte Cell-ID, auch wenn dazu Vorratsdaten erforderlich (gem. § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten)
- Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen
- nur im Fall der Verwendung von Vorratsdaten: Anbieter hat "frühestens nach 48 Stunden, jedoch spätestens nach 30 Tagen grundsätzlich durch Versand einer Kurzmitteilung (SMS), wenn dies nicht möglich ist schriftlich, zu informieren"
Auskunftspflichten TKG 2003
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten SPG
komplexe Auskunftspflichten nach dem SPG
§ 53 Abs. 1 regelt generell Verwendung personenbezogener Daten bei Sicherheitsbehörden, u.a.
- Abwehr krimineller Verbindungen [iS § 16 Abs. 1 Z 2: drei oder mehr Menschen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu begehen] (Z 2)
- erweiterte Gefahrenerforschung (Z 2a) [z.B. iS § 21 Abs. 3 Z 1 eine einzelne Person, die sich mittels Telekommunikationseinrichtungen für Gewalt ausspricht oder nach Massenvernichtungsmittel recherchiert und bei dem mit Gewalttaten "zu rechnen" ist]
- Abwehr gefährlicher Angriffe [iS § 16 Abs. 3, jedes Offizialdelikt, Anm.] einschließlich notwendige Gefahrenerforschung (Z 3)
- Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung verfassungsmäßiger Einrichtungen (Z 7)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten SPG
komplexe Auskunftspflichten nach dem SPG II
§ 53 Abs. 3a besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) und sonstige Diensteanbieter (ECG)
- Teilnehmerdaten zu einem Anschluss für alle SPG-Aufgaben (Z 1)
- IP-Adresse zu einer bestimmten Nachricht (Z 2) [z.B. e-Mail, Posting in einem Forum, ...]
- Benutzerdaten zu einer einem bestimmten Zeitpunkt zugeordneten IP-Adresse inkl. Verwendung von Vorratsdaten (Z 3)
Voraussetzungen für Z 2 und 3: bei konkreten Gefahren (lit a), gefährlichen Angriff (lit b) oder bei kriminellen Verbindungen [drei oder mehr Personen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu setzen] (lit c)
- kein Kostenersatz für Betreiber & Diensteanbieter (§ 53 Abs. 3c)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten SPG
komplexe Auskunftspflichten nach dem SPG III
§ 53 Abs. 3b besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG)
- bei gegenwärtiger Gefahr für Leben oder Gesundheit ("Lawinen- und Selbstmörderbestimmung")
Auskunftsumfang- Auskunft über Standortdaten und die internationale
Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endeinrichtung
- Sicherheitsbehörde darf technische Mittel zur Lokalisierung der Endeinrichtung einsetzen ("IMSI-Catcher")
- falls erforderlich sind Vorratsdaten heranzuziehen
- Kostenersatz für Diensteanbieter gem. ÜKVO (§ 53 Abs. 3c)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten SPG
komplexe Auskunftspflichten nach dem SPG IV
§ 53 Abs. 3c, gemeinsame Verpflichtungen zu Abs. 3a, 3b
- Auskunft ist unverzüglich zu erteilen- Sicherheitsbehörden handeln in eigener Verantwortung- Keine gerichtliche Bewilligung erforderlich
bloße Informationspflicht des BMI-internen Rechtsschutzbeauftragten
- Kein Rechtsmittel für Betroffene- bei Verwendung von Vorratsdaten sind Betroffene von
Sicherheitsbehörden nachweislich und ehestmöglich zu verständigen
SPG erlaubt keine Beauskunftung der Vorratsdaten,
verpflichtet aber Dienstbetreiber zur Auskunft unter Verwendung der Vorratsdaten
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Pflichten von Diensteanbietern (§ 18 ECG)Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (Abs. 2)
Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber
- Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3)
- dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4)
Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers,
mit dem Hostingvereinbarung abgeschlossen wurdeGilt auch bei unentgeltlichen Diensten!
Auskunftspflichten ECG
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen
Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG)
Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht)
2 Fragen des OGH an EuGH (17.11.2007 + Antwort EuGH LSG/Tele2, C-557/07, 19.2.2009):
- Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint? - Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem
die EU-Datenschutzrichtlinie entgegen?
Auskunftspflichten UrhG
JA
JA | NEIN | gesetzliche Regelung zulässig
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflicht eines Vermittlers II
Entscheidung OGH 14.07.2009, 4 Ob 41/09x auf Basis der EuGH-Feststellungen:
- Grundsätzlich sind Access-Provider zur Auskunft verpflichtet
- Keine Auskunftspflicht über dynamische IP-Adressen, da gar nicht gespeichert werden darf (siehe Verkehrsdaten), wem die Adresse zu welcher Zeit zugeteilt wurde
Auskunftspflichten UrhG
Grundsätzlich gilt:- keine generelle Überwachungspflicht, es müssen keine aktiven
Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden
- ab 1.4.2012 auch vorbeugende Aufzeichnungspflichten (Vorratsdatenaufzeichnung), TKG 2003 § 99 Abs 4 schränkt jedoch Auskunft auf ausdrückliche gesetzliche Ermächtigungen ein
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten Abschluss
Zusammenfassung zu den AuskunftspflichtenKeine der genannten Auskunfts- und Überwachungspflichten verpflichtet dazu, Daten auf Vorrat zu erheben oder zu speichern
Im Gegenteil:- Nach DSG sind Daten zu löschen, wenn sie nicht mehr für
den ursprünglichen Zweck benötigt werden- Konkreter: Nach TKG sind Verkehrsdaten zu löschen,
wenn sie nicht mehr für die Verrechnung benötigt werden- Empfehlung der DSK vom 11.10.2006: Unzulässigkeit der
Speicherung von dynamischen IP-Adressen bei Flatrate (K213.000/0005-DSK/2006)
Grundrecht auf Datenschutz ("Geheimhaltung der persönlichen Lebensführung") wird als höherwertig angesehen als die Schaffung von Instrumenten der
präventiven Rechtsverfolgung
seit 1.4.2012 gilt: Möglichkeit Ermittlungserfolge zu verbessern ist höherwertig als Grundrechte auf
Freiheit und Privatsphäre
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten Abschluss
Zusammenfassung zu den Auskunftspflichten IISachverhalt
- Betroffener wird nach Posting in "Sex-Chatroom" über WHOIS-Abfrage der Chatroom-Website, Nickname und vom Betroffenen zum Zeitpunkt des Postings benutzte IP-Adresse (Internet-Provider) ausgeforscht
- Gegen die Ausforschung nach SPG § 53 Abs. 3a ohne richterlicher Ermächtigung wurde Beschwerde bei der DSK eingebracht
Entscheidung VfGH 29.6.2012, B1031/11:- keine Bedenken des VfGH gegen die Bestimmungen des
SPG- kein Eingriff in Fernmeldegeheimnis, da "öffentliche"
Kommunikation und Verkehrsdaten nicht vom Art. 10a StGG erfasst
- staatliche Überwachungsmaßnahmen im Sinne Art 8 EMRK erfordern nicht zwangsläufig richterliche Genehmigung
- Auskunftsgrund ("Anbahnung sexueller Kontakte mit Minderjährigen") als "bestimmte Nachricht" ausreichend begründet
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen in Internet/eCommerce IVorfrage: Handelt es sich um personenbezogene Daten?
Bestimmbarkeit reicht jedoch aus!
(1) Welche Bestimmung ist anwendbar?a)Telekommunikationsgesetz (setzt bestimmte Technik
voraus)b)andere Spezialbestimmungen (E-Government-Gesetz,
Gesundheitsdatentelematikgesetz, ...)c)Datenschutzgesetz (setzt Datenanwendung voraus)
a) + b) verweisen in Teilen meist auf c)d)Privatsphärebestimmung (Auffangbestimmung)
(2) Prüfung der Rechtmäßigkeit verwendeter Datena)prüfen ob Datenanwendung iS DSG 2000b)wenn Datenanwendung, drei Schritte: berechtigter Zweck
der Datenanwendung, Erlaubnis zur Verwendung bestimmter Daten, Registrierungsanforderung
Überblick / Zusammenfassung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen in Internet/eCommerce II
(2) Prüfung der Rechtmäßigkeit verwendeter Daten
...c) mögliche Rechtsverletzungen nach DSG 2000, TKG 2003,
Medienrecht, StGB, Privatsphärebestimmungen, UWG, ...
(3) bestehen berechtigte Auskunftspflichten?a) gemäß StPO, TKG, SPG, ECG, UrhG?, ...b)gegenüber Gerichten, Sicherheits-,
Verwaltungsbehörden, Dritten (Privaten)c) Umfang der Auskunftspflicht:
- bestimmte Daten / Datenarten,- Mitwirkungspflicht,- in bestimmten Fällen Bereitstellung von technischen
Einrichtungen erforderlich,- umfasst bestehende Daten, seit 1.4.2012 auch
Vorratsspeicherung
Überblick / Zusammenfassung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Dr. Hans G. Zegere-commerce monitoring gmbhA-1010 Wien, Vorlaufstraße 5/6
Tel.: 01 / 53 20 944Fax.: 01 / 53 20 974Mail persönlich: hans.zeger@e-monitoring.at
Zertifizierung: http://www.a-cert.ate-commerce: http://www.e-rating.at
DSG2000: http://www.argedaten.at/dsg2000diverse Muster: http://www.argedaten.at/muster/
Kontaktinformationen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
http://www.dsk.gv.at/
http://ec.europa.eu/justice_home/fsj/privacy/index_de.htm
http://www.datenschutzzentrum.de/
http://www.argedaten.at/
Onlineinformation Datenschutz
http://www.datenschutzverein.de/
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Ich danke für Ihre Aufmerksamkeit
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Ende Teil I
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Datenschutzfragen in Internet und eCommerce
Hans G. ZegerWien Juridicum, VO Sommersemester 2011 Teil II
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wiederholung - Grundfragen
Was ist das Internet?- technische Infrastruktur
("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie", ...)
- Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", ...)
- Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt", ...)
- Erweiterung der Privatsphäre ("eMail", "Weblog"/Tagebuch, "Partnersuche", ...)
- politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren", ...)
Abgrenzung nicht immer offensichtlich
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wiederholung - DSG 2000 - Grundrecht
Einschränkungen des Verbots möglich aufgrund:- der Zustimmung des Betroffenen- von Gesetzen (Behörden)- Wahrung überwiegender Interessen Dritter/Auftraggeber- "allgemeiner" Verfügbarkeit von Daten- lebenswichtiger Interessen des Betroffenen
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung perönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wiederholung - DSG 2000 - Grundlagen
Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)
Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)
Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)
Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)
Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung]
120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wiederholung - DSG 2000 - Grundlagen
Grundlage einer rechtmäßigen Datenverwendung
Dreistufiges Konzept
Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)
Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff)
Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff)
Beispiel:
Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden?
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Wiederholung - Beispiele / Entscheidungen
In welchem Umfang ist DSG auf Internet anwendbar?
- Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist)
- Ist eMail-Verkehr eine Datenanwendung? (ja, siehe DSK 120.881/010-DSK/2003, DSK K121.259)
- Wann handelt es sich um personenbezogene Daten?Name, Adresse, IdentifikationsdateneMail-Adresse (ja, siehe OLG Bamberg/D 1U143/04)IP-Adresse (ja, siehe DSK 213.005/0005-DSK/2006)Kundennummer/BenutzerkennungCookiesVoraussetzung ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2)
- Ist berechtigter Zweck gegeben? (DSK 211.505/002-DSK/2004)[unzulässiges Onlineangebot zur Kreditwürdigkeit]
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Sonstige nicht vorgetragene Seiten
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflichten nach dem SPG - Umsetzung
- Heftige Reaktionen aus den betroffenen Unternehmen- Unterstützung durch Wirtschaftskammer (UBIT)- Wildwuchs von Anfragen zu Jahresbeginn- Rechtsunsicherheit, wer überhaupt Anfrageberechtigt
istnach Verhandlungen mit Innenministerium dürfen nur 13 Dienststellen anfragen (LKAs, BPD Wien, BKA, BVT, BIA)
- Art des Formulars per Erlass geregeltenthält keine Angaben zur Begründung einer Anfrage
- Wenn eine Anfrage einlangt: UBIT bietet kostenlose Rechtsauskunft binnen eines Werktages
- Empfehlung von UBIT: Kunden über die Anfrage informieren
- Telekom-Betreiber strengten mehrere VfGH-Verfahren an
- VfGH G 31/08 u.a.: Zurückweisung aus formalen Gründen: Bekämpfung der Auskunftspflicht durch Beschwerde bei UVS zumutbar
Auskunftspflichten SPG
© Hans G. Zeger 2013
VO SS2013 - Juridicum
"alte" Cybercrime-Strafbestimmungen u.a.
- §126a StGB Datenbeschädigung- §148a StGB Betrügerischer
Datenverarbeitungsmissbrauch
- §118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen
- §119 Verletzung des Telekommunikationsgeheimnisses
- §122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses
"Amts"-Bestimmungen
- Schutz des Behörden"geheimnisses" (StGB §§ 302, 310),nur bedingt anwendbar: §301 "Verbotene Veröffentlichung" - geringer Strafrahmen
Cybercrime - Übersicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Neue "cybercrime"-Bestimmungen (seit 1.10.2002)
- §118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"]
- §119a Missbräuchliches Abfangen von Daten- §126b Störung der Funktionsfähigkeit eines
Computersystems [DOS-Attacken]
- §126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"]
- §225a Datenfälschung
von EU beschlossen (2006)- Aufbewahrungspflicht für Telekom- und Internetdaten- in Österreich nicht fristgerecht umgesetzt (Stand:
7.10.2007)
Europarat - Convention on Cybercrime (23.11.2001)
- seit 1.7.2004 in Kraft- in Österreich nicht ratifiziert (Stand: 7.10.2007)
Cybercrime - Übersicht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Auskunftspflicht eines Vermittlers § 87b UrhG Abs. 3
Privatanklage durch Musikindustrie im Strafverfahren seit der neuen StPO (1.1.2008) Warum?? schwieriger
- Auskunftspflicht vorher heftig umstritten und widersprüchliche Gerichtsentscheidungen
IP-Adressen von Filesharern
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Grenzen des DSG
Grundkonzepte des DSG 2000
- Geheimhaltungskonzept"grundsätzlich sind alle persönlichen Daten geheim"
- Rollenkonzept"Betroffener", "Auftrageber", "Dienstleister"
- Datenkonzeptdas DSG sieht die Daten als Träger der Information
steht im Widerspruch zu "Informationsgesellschaft"
bei Telekommunikation und Internet verschwimmen diese Begriffe: persönliche Webseiten, Anschlussinhaber/-nutzer, Angerufener, Rolle des ISP, ...
tatsächlich bestimmt oft erst die Auswertung den Informationsgehalt ("data-mining", Surf-Verhalten)
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSK K121.59/K121.224 ("Parlament")
Ausgangslage
- im Zuge einer parlamantarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt
- Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht
Entscheidung
- keine Zuständigkeit der DSK gegeben (nur für Verwaltung/Exekutive zuständig)
- betrifft Gesetzgebung
für Gesetzgebung, aber auch Justiz fehlen Datenschutzaufsichtsstellen
DSG 2000 - Veröffentlichung
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Beispiel www.ebay.at - wozu wird zugestimmt?
"Ich willige ein, dass1. die eBay Europe S.à r.l., 15 rue Notre Dame L-2240 Luxembourg, Luxemburg und die eBay International AG, Helvetiastrasse 15 - 17, CH-3005 Bern, Schweiz, meine personenbezogenen Daten erheben und an die eBay Inc., 2145 Hamilton Avenue, San Jose 95125, USA, übermitteln. ..."
Fraglich ob ausreichend bezüglich:- Datenumfang (nur beispielhaft aufgezählt)- Datenempfänger (nur beispielhaft aufgezählt)- Zweck ("gespeicherten Daten, soweit dies erforderlich
ist", was bedeutet erforderlich?)
Vorhanden:- Widerrufshinweis
DSG 2000 - Grundlagen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
DSK 211.505/002-DSK/2004 ("Mandatsbescheid")
Ausgangslage- Unternehmen kündigt an eine Liste von zahlungsunwilligen
Konsumenten zu betreiben
- Liste kann über das Internet gegen Bezahlung abgerufen werden
- Firmen werden aufgefordert zahlungsunwillige Personen zu melden
DSK-Entscheidung- System zur Beurteilung der Bonität geeignet, daher
besonders schutzwürdig
- Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG)
- wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben
Beispiele / Entscheidungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
www.ebay.at - Welches Datenschutzrecht gilt?
DSG 2000 - Anwendbares Recht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
www.ebay.at
Vertragspartner ist eBay-Luxembourg, nicht die AT-Niederlassung (mittlerweile wieder aufgelöst)
weiters findet sich folgende Anmerkung:"8. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG [deutsches DSG, Anm.], erlaubt ist, willige ich ein, dass eBay, ..."
DSG 2000 - Anwendbares Recht
© Hans G. Zeger 2013
VO SS2013 - Juridicum
SPAM-ENTWICKLUNG
1,0
0%
3,0
0%
7,0
0%
28
,00
%
51
,00
%
73
,20
%
81
,30
%
86
,20
%
84
,60
%
81
,20
%
93
,28
%
80
,00
%
97
,00
%
0
100
200
300
400
500
600
700
800
900
1.000
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max
0,00%
50,00%
100,00%
150,00%
200,00%
250,00%
300,00%
350,00%
400,00%
450,00%
500,00%
um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden
Anteil Spam am Mailverkehr [in%]
100%
50%
Anteil Spam am Mailverkehr
SPAM-ENTWICKLUNG
1,0
0%
3,0
0%
7,0
0%
28
,00
%
51
,00
%
73
,20
%
81
,30
%
86
,20
%
84
,60
%
81
,20
%
93
,28
%
80
,00
%
97
,00
%
0
100
200
300
400
500
600
700
800
900
1.000
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max
0,00%
50,00%
100,00%
150,00%
200,00%
250,00%
300,00%
350,00%
400,00%
450,00%
500,00%
um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden
Anteil Spam am Mailverkehr [in%]
um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden
100 Mails erwünscht = 1488 Eingangsmails
100 Mails erwünscht = 3333 Eingangsmails
100%
50%
Anteil Spam am Mailverkehr [in%]
SPAM-Problem - Aufwand der Benutzer
TKG2003 - Datenschutzbestimmungen
© Hans G. Zeger 2013
VO SS2013 - Juridicum
TKG2003 - Datenschutzbestimmungen
Quelle: Symantec
SPAM-Problem - Herkunft
Quelle: Symantec
Lateinamerika Nordamerika Europa/Nahost/Afrika Asien/Pazifik
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Was passiert bei Aufruf einer Website?
Cookie-Beispiel google.at, google.com
User-Code: YXJnZSBkYXRlbg
Funktionen, z.B. Verfolgen des Users, auch wenn IP-Adresse wechselt, Webserver gewechselt wird,identifizieren, wenn er personalisierten Dienst verwendet
Demobeispiel Cookie-Beispiel
© Hans G. Zeger 2013
VO SS2013 - Juridicum
Aufzeichnungspflichten
Vorratsdatenspeicherung (Entwicklung)- EuGH weist eine formale Beschwerde Irlands ab
(Zuständigkeit der Kommission und des Parlaments ist gegeben)
- UK wendet ohne besonderes Gesetz an, plant eine zentrale staatliche Datenbank
- Staaten ohne Umsetzung (inkl. Österreich) wurden mit EU-Vertragsverletzungsverfahren konfrontiert
- Verfassungsgerichtshöfe Bulgarien, Rumänien und Deutschland heben nationale Umsetzungen auf
- in Deutschland "nur" als zu weitgegehende Umsetzung und nicht aus prinzipiellen Gründen (BVGH 2.3.2010, 1 BvR 256/08)
- weitere Aufhebung in Tschechien (2011)- Evaluation der Richtlinie erbrachte: hohe Uneinheitlichkeit
der Umsetzung, keine nachhaltigen Erfolge in der Strafverfolgung, aber man möchte trotzdem daran festhalten
- derzeit EuGH-Verfahren wegen Widerspruch zu Grundrechtecharta nach dem "Lissabon-Vertrag" (Irland)
- 20?? Anpassungen der Richtlinie, etwa in Richtung "Quick Freeze"?