VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben
Hans G. ZegerWien, TU-Wien SS03
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
privacy & security
Die Idee vom Datenschutz
Betroffenenrechte
Aufgaben des Datenverarbeiters
Sicherheit als Grundlage von privacy
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Die Idee vom Datenschutz
privacy ( früher: Datenschutz )• Sicherung der freien Entscheidung, wer
welche Informationen über meine Person erhält.
• Die Menschen werden vor einem Übermaß an Datenerhebungen geschützt.
• Jede Datenverwendung muß sozial und rechtlich legitimiert sein
security/safety ( = Datensicherheit)• Die Daten werden vor der (nicht immer
freundlichen) Umwelt geschützt.
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
1958 EMRK in Österreich ratifiziert1958 EMRK in Österreich ratifiziert
1978 DSG78 verabschiedet1978 DSG78 verabschiedet1980 Inkrafttreten DSG781980 Inkrafttreten DSG78
1980 Gleichwertigkeitsverordnung1980 Gleichwertigkeitsverordnung
1981 Europaratsübereinkommen DS1981 Europaratsübereinkommen DS1981 OECD Empfehlung DS 1981 OECD Empfehlung DS
1987 DSG Novelle (Betroffenenrechte)1987 DSG Novelle (Betroffenenrechte)
Der Weg zum neuen Datenschutz
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
1988 Europaratsübereinkommen ratifiziert1988 Europaratsübereinkommen ratifiziert
1995 Verfassungsbestimmung zur DSK1995 Verfassungsbestimmung zur DSK1995 Inkrafttreten EU Richtlinie1995 Inkrafttreten EU Richtlinie
1998 Ende Umsetzungsfrist1998 Ende Umsetzungsfrist
1999 Beschlußfassung DSG20001999 Beschlußfassung DSG20001999 Verlautbarung DSG20001999 Verlautbarung DSG2000
1.1.2000 Inkrafttreten DSG 2000
???? Regelungen zu Biometrie & Videoüberwachung???? Regelungen zu Biometrie & Videoüberwachung
Der Weg zum neuen Datenschutz
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Umsetzung der EU-Richtlinie "Datenschutz" Nachfolge des "alten" DSG Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren
soll Privatsphäre und Informationsaustausch sichern
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Ziele neuer Datenschutzregelungen:
Datenverarbeitungen sind allgegenwärtig
Datenverarbeitungen hat für die Betroffenen transparent zu sein
Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können Grundrechte gefährden
Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform
Schwerpunkt liegt in der Schaffung "fairer" Vereinbarungen mit Betroffenen
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Umsetzungsstand in den EU Staaten
Vollständig umgesetzt
Nicht umgesetzt
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Welches Datenschutzrecht ist anzuwenden?aus dem DSG2000 §3 (Verfassungsbestimmung)
EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat.
DSG2000 gilt nicht für den bloßen Datentransport durch Österreich
Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich
Welches Datenschutzrecht ist anzuwenden?aus dem DSG2000 §3 (Verfassungsbestimmung)
EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat.
DSG2000 gilt nicht für den bloßen Datentransport durch Österreich
Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich
EU-Richtlinie Anwendungsbereich
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Betroffener in Österreich
Betroffener nicht in Österreich
in Österreich
DV-Anwendungin Österreich
Auftrag-geber
öDSG2000 öDSG2000
öDSG2000 öDSG2000
Ja
Nein, nicht EU
nicht in Österr.
aber EU
weder Österr.
noch EU
öDSG2000
EU-xDSGEU-xDSG
öDSG2000
öDSG2000 öDSG2000
Ja
Ja
Nein
Nein ??DSG ??DSG
EU-xDSG EU-xDSGNein, EU
EU-Richtlinie Anwendungsbereich
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Grundsätzlich gilt die Geheimhaltung aller persönlicher DatenDSG2000 §1 (Verfassungsbestimmung)
Geheimhaltungsanspruch
Einschränkungen der Geheimhaltung
Subjektive Rechte
zweiteilige Rechtsdurchsetzung
Umfangreiche Entscheidungspraxis
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Betroffenenrecht - Geheimhaltung (§1ff)
Achtung der Privatsphäre gem. Art. 8 EMRK"(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht..."
Einschränkungen möglich aufgrund- der Zustimmung des Betroffenen- lebenswichtiger Interessen des Betroffenen- von Gesetzen (Behörden)- Wahrung überwiegender Interessen Dritter
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 §1 (I)
120.777/003-DSK/2002 ("SV-Auskunft")Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens
120.766/004-DSK/2002 ("Fahrtüchtigkeit")
Weitergabe Daten eine an Verkehrsbehörde
120.662/32-DSK/00 ("Lehrerliste")Weitergabe einer Lehrerliste an Postbediensteten
120.532/22-DSK/00 ("Autowrack")Weitergabe Daten eines Beschuldigten an lokale Zeitung
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 §1 (II)
120.686/3-DSK/00 ("unstrukturierte Datensammlungen")
Grundrecht auf Geheimhaltung gilt grundsätzlich allen personenbezogenen Datensammlungen
120.622/14-DSK/00 ("Briefaushang")Aushang eines Briefes nicht grundsätzlich ein Geheimhaltungsbruch
120.681/8-DSK/00 ("Tratsch&Klatsch")Bloße Kenntnisnahme von geheimhaltungswürdigen Informationen noch kein GeheimnisbruchWichtig! Abgrenzung zur Datenermittlung!
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
"Daten" ("personenbezogene Daten")DSG2000 §4 Z1"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
Entscheidung DSK 120.616/16-DSK/00"Verwandtschaft und Wohnungsnutzung"Daten zu Verwandtschaft und Wohnungsnutzung fallen unter den Datenbegriff und können sogar in den Bereich 'sensible Daten' (Z2) fallen.
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
"sensible" Daten (DSG2000 §4 Z2)
Daten natürlicher Personen über
rassische und ethnische Herkunft
politische Meinung
Gewerkschaftszugehörigkeit
religiöse und philosophische Überzeugung
Gesundheit
Sexualleben
zusätzlich: "besonders schutzwürdige" Daten
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Personenbezogene Daten
Indirekt personen-bezogene Daten
personenbezogene Daten
besonders schutzwürdige Daten
sensible Daten
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Regelungen zu den "indirekt" personenbezogenen Daten(DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46)
DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus
• genehmigungsfreie Übermittlung ins Ausland
• kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch
• keine Meldepflicht, Registrierungspflicht
• Verwertbarkeit für wissenschaftliche Zwecke und Statistik
EU-Ansatz geht in entgegengesetzte Richtung
Regelungen zu den "indirekt" personenbezogenen Daten(DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46)
DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus
• genehmigungsfreie Übermittlung ins Ausland
• kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch
• keine Meldepflicht, Registrierungspflicht
• Verwertbarkeit für wissenschaftliche Zwecke und Statistik
EU-Ansatz geht in entgegengesetzte Richtung
DSG 2000 - Grundlagen
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
"Auftraggeber" / Verantwortlicher einer Datenanwendung (DSG2000 §4 Z4)
"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft"
Entscheidung DSK 202.010/002-DSK/2001"Auftraggeber können auch sonstige Personengemeinschaften sein"
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Wer ist ein Dienstleister?(DSG2000 §§ 4, 10, 11)
Es ist eine ausdrückliche Vereinbarung zu treffen
Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK,bei bestimmten Datenanwendungen
nur auftragsgemäße Verwendung der Daten
zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers
Wer ist ein Dienstleister?(DSG2000 §§ 4, 10, 11)
Es ist eine ausdrückliche Vereinbarung zu treffen
Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK,bei bestimmten Datenanwendungen
nur auftragsgemäße Verwendung der Daten
zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers
DSG 2000 - Grundlagen
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
"Datei" (DSG2000 §4 Z6)
"strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind"
Entscheidung 6Ob148/00h"Abgrenzung Akten und Datei"
Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen.
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
,,Datenanwendung'' (früher: ,,Datenverarbeitung'')DSG2000 §4 Z7, §58
"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte"
DSG2000 kennt "besondere Datenanwendungen"
Entscheidung DSK 120.707/7-DSK/00"Urkunden und Aktensammlungen"
Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000
Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrecht (Personalakte)
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
"Übermitteln von Daten" (DSG2000 §4 Z12)
"die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"
Entscheidung DSK 120.656/16-DSK/00"technisch unabhängig"
Übermittlung ist unabhängig von der technischen Methode
Verschiedene Gesetze können unterschiedliche Regelungen enthalten, im DSG 2000 ist Übermittlung an Vorliegen einer 'Datenanwendung' geknüpft.
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
"Zustimmung" (DSG 2000 §4 Z14)
"die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"
Entscheidung OGH 6 Ob 179/02f ("CA-BA")
siehe auch: OGH 6 Ob 16/01y ("MOBILKOM")OGH 4Ob28/01y ("Creditanstalt")OGH 7 Ob 170/98w ("Friends-of-Merkur")
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
OGH 6 Ob 179/02f ("CA-BA")
Die kritisierten Datenschutz-Bestimmungen
- AGB's Z26 / Z27
- Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870
- Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen, ...)
- Entbindung vom Bankgeheimnis
Die wichtigsten Punkte der Entscheidung- Hinweis auf Widerruf wesentlicher Teil der Zustimmung
- besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen
- Entbindung vom Bankgeheimnis muß auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein
- Widerspruch zu Treu und Glauben (§6 DSG 2000)
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Die wichtigsten BegriffeDie wichtigsten Begriffe
Verwenden von Daten
Z8
Übermitteln Verarbeiten
Z9
Z12
Daten-anwendung
Z7
Auftraggeber
Z4
ÜberlassenErmitteln
Z10 Z11
Dienstleister
Z5
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Verwendung von Daten nach "Treu und Glauben" DSG2000 §6
Umsetzung der Datenschutzkonvention des Europarates
Verwendung nach Treu und Glauben (Abs. 1 Z1)
Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2)
Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2)
Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2)
Verwendung von Daten nach "Treu und Glauben" DSG2000 §6
Umsetzung der Datenschutzkonvention des Europarates
Verwendung nach Treu und Glauben (Abs. 1 Z1)
Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2)
Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2)
Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2)
DSG 2000 - Grundsätze
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Verwendung von Daten nach "Treu und Glauben" II
Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3)
Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4)DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein
Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4)
Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5)
Verwendung von Daten nach "Treu und Glauben" II
Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3)
Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4)DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein
Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4)
Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5)
DSG 2000 - Grundsätze
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Grundlage einer rechtmässigen Datenverwendung (§7ff)
Zweistufiges KonzeptEs muß eine Rechtsgrundlage für eine Datenanwendung geben (§7 Abs.1)
Es muß eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§7ff)
Musterbeispiele: Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91)
Risikodatenbank der Anästhesisten bezüglich von Komplikationen bei der Narkose bei chirurgischen Eingriffen.
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 §7
120.694/4-DSK/00 ("Privatermittlungen")Vorliegen der Übermittlungsvoraussetzung führt nicht zum Recht Daten tatsächlich zu erhalten
120.657/8-DSK/00 ("Eigenwerbung")Zum Zwecke der "Eigenwerbung" dürfen auch Daten anderer Zwecke des Datenverarbeiters benutzt werden
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Geheimhaltungsinteressen bei Datenverwendung (§8-nicht-sensible Daten, §9-sensible Daten)
Wann dürfen Daten verwendet werden?
(Auszug)
- Rechtsgrundlage / gesetzliche Verpflichtungen
- Zustimmung des Betroffenen
- zulässig veröffentliche Daten
- notwendige Voraussetzung
- überwiegende Interessen Dritter
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 §8/9
202.007/004-DSK/2001 ("Einsichtnahme")Sind Daten auch nur lokal einsehbar, gelten sie als veröffentlicht
210.380/001-DSK/2001 ("Geburtsdatum")Zusätzliche Daten dürfen auf Briefstücken nur aus besonderen Gründen angebracht werden
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Betroffenenrechte
[Recht auf Geheimhaltung (§1ff)]
Recht auf Auskunft (§26)
Recht auf Berichtigung und Löschung (§27)
Informationsrecht (§24)
Recht auf Widerspruch (§28)
Recht auf Widerruf (§8, 9)
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Informationspflicht (§24)
Informationspflicht anläßlich Ermittlung
ZweckAuftraggeber
Spätestens zum Zeitpunkt der Übermittlung
umfaßt auch notwendige weitere Informationspflichten
Entfällt unter gewissen Bedingungen
Informationspflicht ist "Bringschuld" !
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft I (§26)
Auskunft ist auf Verlangen zu geben (Abs. 1)
Auskunftsfrist sind 8 Wochen (Abs. 4)
Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)
ungerechtfertigter Aufwand ist zu vermeiden
begründete Auskunftsverweigerung ist möglich
Auskunftsrecht ist "Holschuld" !
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft II (§26)
Auftraggeber hat Auskunft zu erteilen über
die verwendeten Daten in allgemein verständlicher Form
verfügbare Information über ihre Herkunft
allfällige Empfänger oder Empfängerkreise von Übermittlungen
Name und Adresse des Dienstleisters (muß vom Betroffenen extra verlangt werden)
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Entscheidungen zu DSG2000 §26
120.790/010-DSK/2002 ("Mitwirkung")Mitwirkungspflicht inkludiert keine Beweislast
120.804/016-DSK/2002 ("Datengeheimnis")
Daten- und Bankgeheimnis sind keine ernsthaften Auskunftsverweigerungsgründe, gemeinsame Auskunftsbegehren sind möglich.
120.804/016-DSK/2002 ("Beschwerdefrist")
Beschwerde bei mangelhafter Auskunft kann nach Erteilung der Auskunft, noch vor Ablauf der 8-Wochenfrist eingebracht werden
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Löschung/Richtigstellung (§27)
Richtigstellungspflicht des Auftraggebers
Frist ist 8 Wochen
betrifft auch unvollständige Daten
nicht benötigte und unzulässig verarbeitete Daten sind zu löschen
Beweislast beim Auftraggeber (mit Ausnahmen)
120.645/003-DSK/2002 ("KPA-Löschung")Daten, die den angestrebten Zweck nicht erfüllen, sind zu löschen
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Widerspruch / Widerruf
Zustimmung zur Verwendung von Daten kann widerrufen werden (§8)
Widerspruch (§28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich
Widerspruch bei überwiegenden, schutzwürdigen Gründen
Widerspruch bei öffentlich zugänglichen Dateien
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Betroffenenrechte
Beschwerdestellen
- DatenschutzkommissionIn allen Auskunftsfällen und für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen
- ZivilgerichtIn allen sonstigen Fällen, die durch das DSG 2000 geregelt sind
- Europäische KommissionFür alle Bereiche der EU-Richtlinie Datenschutz, die nicht von nationalen Gesetzen und Behörden abgedeckt sind
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Sicherheit / Internet
Cybercrime-Bestimmungen
Spezifische Internetfragen
Sicherheitsbestimmungen (DSG 2000 §14)
Verschwiegenheitspflichten
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Sicherheit
"alte" Strafbestimmungen u.a.
- §126a StGB Datenbeschädigung- §148a StGB Betrügerischer
Datenverarbeitungsmißbrauch
- §118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen
- §119 Verletzung des Telekommunikationsgeheimnisses- §122 Verletzung eines Geschäfts- oder
Betriebsgeheimnisses
"Amts"-Bestimmungen
- Schutz des Behörden"geheimnis" (StGB §§301, 302, 310)
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Sicherheit
Neue "cybercrime"-Bestimmungen (seit 1.10.2002)
- §118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"]
- §119a Missbräuchliches Abfangen von Daten- §126b Störung der Funktionsfähigkeit eines
Computersystems [DOS-Attacken]- §126c Missbrauch von Computerprogrammen oder
Zugangsdaten ["Cracken"]- §225a Datenfälschung
In Planung (??.??.????)- Aufbewahrungspflicht für Telekom- und
Internetdaten
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Sicherheit
Sicherheitsbestimmungen (§14)
eher allgemein
Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:
Stand der Technik entsprechend
wirtschaftlich vertretbar
angemessenes Schutzniveau muß erreicht werden
Auffällig ist das FEHLEN konkreter Sicherheitshinweise
keine Empfehlungen, keine Definitionen zum Stand der Technik, keine vorgeschriebenen Standards, kein freiwilliges Akkreditierungsverfahren
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Sicherheit
Maßnahmen zur Sicherheit
ausdrückliche Aufgabenverteilung
ausschließlich auftragsgemäße Datenverwendung
Belehrungspflicht der Mitarbeiter
Regelung der Zugriffs- und Zutrittsberechtigungen
Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten
Protokollierungspflicht
Dokumentationspflicht zur Kontrolle und Beweissicherung
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Haftung bei fehlenden Datensicherheitsmaßnahmen
OGH Entscheidung (9 Ob A 182/90)
Sachverhalt:Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.
Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.
Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".
DSG 2000 - Sicherheit
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Sicherheit
Protokollierungsanforderungen (§14)
Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)
Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)
Verwendungsbeschränkung der Protokolldaten (Abs. 4, 5)
Sicherheitsvorschriften müssen für Mitarbeiter jederzeit einschaubar sein (Abs. 6)
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Arbeitsrechtliche Bestimmungen
Mitarbeiterdaten ArbVG kennt spezifische Informations-, Zustimmungs- und "ersetzbare" Zustimmungspflichten
• Eingriffe in Arbeitsautonomie als "berühren" der Menschenwürde zustimmungspflichtig
• "Überwachung" als verletzen der Menschenwürde verboten
Beispiele• Telefondatenaufzeichnung• Inhaltskontrolle von Mails• Video-Aufzeichnung• Kantinenabrechnung
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
Arbeitsrechtliche Bestimmungen
Inhalt einer Betriebsvereinbarung Betroffener Personenkreis Systembeschreibung Gegenstand des Übereinkommens, Zweck der
Verarbeitung Definition der verwendeten Daten Definition der Datennutzung Abgrenzung zu anderen Datenverarbeitungen Definition von Codes und Wertebereichen Maximale Dauer der gespeicherten Daten Vorgangsweise bei Änderung des Systems Anwendungs- und Auslegungsgrundsatz Schlichtungskommission Geltungszeitraum
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Sicherheit
Protokollierung vs. Mitarbeiterüberwachung
Scheinbarer Widerspruch zwischen §96 ArbVG und §14 DSG 2000
Verschiedene Protokollierungszwecke bedeuten verschiedene Datenanwendungen (auch bei denselben Daten)
Mitarbeiteranweisungen sind wesentlich!
Vereinbarungen mit Betriebsrat/Personalvertretung sind zu beachten
Maßnahmen zur Aufdeckung eines konkreten Mißbrauchs, sind immer zulässig!
VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003
DSG 2000 - Verschwiegenheit
Verpflichtung zum Datengeheimnis (§15)Mitarbeiter sind - sofern nicht berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.
Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.
Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.
Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung (!) kein Nachteil erwachsen.