Kein Folientitel

1
Informationstechnlogien - Praktische Umsetzung
rechtlicher Vorgaben Hans G. Zeger Wien,
TU-Wien SS03
2


3
Die Idee vom Datenschutz

• privacy ( früher Datenschutz )
• Sicherung der freien Entscheidung, wer welche
  Informationen über meine Person erhält.
• Die Menschen werden vor einem Übermaß an
  Datenerhebungen geschützt.
• Jede Datenverwendung muß sozial und rechtlich
  legitimiert sein
• security/safety ( Datensicherheit)
• Die Daten werden vor der (nicht immer
  freundlichen) Umwelt geschützt.

4
Der Weg zum neuen Datenschutz
1987 DSG Novelle (Betroffenenrechte)
1981 OECD Empfehlung DS
1981 Europaratsübereinkommen DS
1980 Gleichwertigkeitsverordnung
1980 Inkrafttreten DSG78
1978 DSG78 verabschiedet
1958 EMRK in Österreich ratifiziert
5
Der Weg zum neuen Datenschutz
???? Regelungen zu Biometrie
Videoüberwachung
1999 Verlautbarung DSG2000
1999 Beschlußfassung DSG2000
1998 Ende Umsetzungsfrist
1995 Inkrafttreten EU Richtlinie
1995 Verfassungsbestimmung zur DSK
1988 Europaratsübereinkommen ratifiziert
6
DSG 2000 - Grundlagen

• Umsetzung der EU-Richtlinie "Datenschutz"
• Nachfolge des "alten" DSG
• Versuch auf die neuen Herausforderungen
  vernetzter Informationssysteme zu reagieren
• soll Privatsphäre und Informationsaustausch
  sichern

7
DSG 2000 - Grundlagen
Ziele neuer Datenschutzregelungen Datenverarbeitu
ngen sind allgegenwärtig Datenverarbeitungen hat
für die Betroffenen transparent zu sein Sowohl
öffentlich-rechtliche, als auch
privat-rechtliche Datenverarbeitungen können
Grundrechte gefährden Wesentlich ist der Schutz
der Privatsphäre, nicht die Regulierung der
Verarbeitungsform Schwerpunkt liegt in der
Schaffung "fairer" Vereinbarungen mit Betroffenen
8
Umsetzungsstand in den EU Staaten
? Vollständig umgesetzt ? Nicht umgesetzt
9
EU-Richtlinie Anwendungsbereich

• Welches Datenschutzrecht ist anzuwenden?aus dem
  DSG2000 3 (Verfassungsbestimmung)
• EU-weit gilt die Zuständigkeit jener
  Gesetzgebung, wo der Auftraggeber ("für die
  Verarbeitung Verantwortliche") seine
  Niederlassung hat.
• DSG2000 gilt nicht für den bloßen Datentransport
  durch Österreich
• Geltung des DSG2000 ist nicht von der
  österreichischen Staatsbürgerschaft abhängig,
  ebenso nicht vom Aufenthalt des Betroffenen in
  Österreich

10
EU-Richtlinie Anwendungsbereich
Betroffener in Österreich
Betroffener nicht in Österreich
DV-Anwendungin Österreich
Auftrag-geber
in Österreich
öDSG2000
öDSG2000
Ja
EU-xDSG
EU-xDSG
Nein, EU
öDSG2000
öDSG2000
Nein, nicht EU
nicht in Österr. aber EU
öDSG2000
öDSG2000
Ja
EU-xDSG
EU-xDSG
Nein
weder Österr.noch EU
öDSG2000
Ja
öDSG2000
Nein
??DSG
??DSG
11
DSG 2000 - Grundlagen
Grundsätzlich gilt die Geheimhaltung aller
persönlicher DatenDSG2000 1 (Verfassungsbestimmu
ng) Geheimhaltungsanspruch Einschränkungen der
Geheimhaltung Subjektive Rechte zweiteilige
Rechtsdurchsetzung Umfangreiche
Entscheidungspraxis
12
DSG 2000 - Grundlagen
Betroffenenrecht - Geheimhaltung (1ff) Achtung
der Privatsphäre gem. Art. 8 EMRK "(1) Jedermann
hat, insbesondere auch im Hinblick auf die
Achtung seines Privat- und Familienlebens,
Anspruch auf Geheimhaltung der ihn betreffenden
personenbezogenen Daten, soweit ein
schutzwürdiges Interesse daran besteht..." Einsch
ränkungen möglich aufgrund - der Zustimmung des
Betroffenen- lebenswichtiger Interessen des
Betroffenen - von Gesetzen (Behörden) - Wahrung
überwiegender Interessen Dritter
13
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 1 (I) 120.777/003-DSK/
2002 ("SV-Auskunft") Auskunft über Beschäftigung
im Rahmen eines Unterhaltsverfahrens 120.766/004-D
SK/2002 ("Fahrtüchtigkeit") Weitergabe Daten eine
an Verkehrsbehörde 120.662/32-DSK/00
("Lehrerliste") Weitergabe einer Lehrerliste an
Postbediensteten 120.532/22-DSK/00
("Autowrack") Weitergabe Daten eines
Beschuldigten an lokale Zeitung
14
(No Transcript)
15
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 1 (II) 120.686/3-DSK/0
0 ("unstrukturierte Datensammlungen") Grundrecht
auf Geheimhaltung gilt grundsätzlich allen
personenbezogenen Datensammlungen 120.622/14-DSK/0
0 ("Briefaushang") Aushang eines Briefes nicht
grundsätzlich ein Geheimhaltungsbruch 120.681/8-DS
K/00 ("TratschKlatsch") Bloße Kenntnisnahme von
geheimhaltungswürdigen Informationen noch kein
Geheimnisbruch Wichtig! Abgrenzung zur
Datenermittlung!
16
DSG 2000 - Grundlagen
"Daten" ("personenbezogene Daten")DSG2000 4
Z1 "Angaben über Betroffene (Z 3), deren
Identität bestimmt oder bestimmbar
ist" Entscheidung DSK 120.616/16-DSK/00"Verwandt
schaft und Wohnungsnutzung" Daten zu
Verwandtschaft und Wohnungsnutzung fallen unter
den Datenbegriff und können sogar in den Bereich
'sensible Daten' (Z2) fallen.
17
DSG 2000 - Grundlagen
"sensible" Daten (DSG2000 4 Z2) Daten
natürlicher Personen über rassische und ethnische
Herkunft politische Meinung Gewerkschaftszugehörig
keit religiöse und philosophische
Überzeugung Gesundheit Sexualleben zusätzlich
"besonders schutzwürdige" Daten
18
DSG 2000 - Grundlagen
Personenbezogene Daten
19
DSG 2000 - Grundlagen

• Regelungen zu den "indirekt" personenbezogenen
  Daten(DSG2000 4 Z1, 8, 9, 12, 17, 29, 46)
• DSG2000 geht generell von "keiner Verletzung von
  Geheimhaltungspflichten" aus
• genehmigungsfreie Übermittlung ins Ausland
• kein Recht auf Auskunft, Löschung, Berichtigung
  und Widerspruch
• keine Meldepflicht, Registrierungspflicht
• Verwertbarkeit für wissenschaftliche Zwecke und
  Statistik
• EU-Ansatz geht in entgegengesetzte Richtung

20
DSG 2000 - Grundlagen
"Auftraggeber" / Verantwortlicher einer
Datenanwendung (DSG2000 4 Z4) "natürliche oder
juristische Personen, Personengemeinschaften oder
Organe einer Gebietskörperschaft" Entscheidung
DSK 202.010/002-DSK/2001"Auftraggeber können
auch sonstige Personengemeinschaften sein"
21
DSG 2000 - Grundlagen

• Wer ist ein Dienstleister?(DSG2000 4, 10, 11)
• Es ist eine ausdrückliche Vereinbarung zu treffen
• Gewährleistung eines sicheren Betriebes
• Informationspflicht an die DSK,bei bestimmten
  Datenanwendungen
• nur auftragsgemäße Verwendung der Daten
• zu Sicherheitsmaßnahmen verpflichtet
• Subunternehmer nur mit Billigung des Auftraggebers

22
DSG 2000 - Grundlagen
"Datei" (DSG2000 4 Z6) "strukturierte Sammlung
von Daten, die nach mindestens einem
Suchkriterium zugänglich sind" Entscheidung
6Ob148/00h"Abgrenzung Akten und Datei" Unter
Datei sind daher Karteien und Listen, nicht aber
Akten und Aktenkonvolute zu verstehen.
23
DSG 2000 - Grundlagen
,,Datenanwendung'' (früher ,,Datenverarbeitung'')
DSG2000 4 Z7, 58 "die Summe der in ihrem
Ablauf logisch verbundenen Verwendungsschritte" D
SG2000 kennt "besondere Datenanwendungen" Entsche
idung DSK 120.707/7-DSK/00"Urkunden und
Aktensammlungen" Akten, Aktensammlungen und deren
Deckblätter fallen nicht in den Anwendungsbereich
des DSG 2000 Unberührt davon bleibt das Recht auf
Akteneinsicht, das Auskunftspflichtgesetz,
Regelungen des Arbeitsrecht (Personalakte)
24
DSG 2000 - Grundlagen
"Übermitteln von Daten" (DSG2000 4 Z12) "die
Weitergabe von Daten einer Datenanwendung an
andere Empfänger als den Betroffenen, den
Auftraggeber oder einen Dienstleister" Entscheidu
ng DSK 120.656/16-DSK/00"technisch
unabhängig" Übermittlung ist unabhängig von der
technischen Methode Verschiedene Gesetze können
unterschiedliche Regelungen enthalten, im DSG
2000 ist Übermittlung an Vorliegen einer
'Datenanwendung' geknüpft.
25
DSG 2000 - Grundlagen
"Zustimmung" (DSG 2000 4 Z14) "die gültige,
insbesondere ohne Zwang abgegebene
Willenserklärung des Betroffenen, daß er in
Kenntnis der Sachlage für den konkreten Fall in
die Verwendung seiner Daten einwilligt" Entscheidu
ng OGH 6 Ob 179/02f ("CA-BA") siehe auch OGH 6
Ob 16/01y ("MOBILKOM") OGH 4Ob28/01y
("Creditanstalt") OGH 7 Ob 170/98w
("Friends-of-Merkur")
26
DSG 2000 - Grundlagen
OGH 6 Ob 179/02f ("CA-BA") Die kritisierten
Datenschutz-Bestimmungen - AGB's Z26 /
Z27 - Weitergabe an Kleinkreditevidenz/Warndateien
/ KSV1870 - Weitergabe an sonstige Einrichtungen
zur Risikobeurteilung (Refinanzierungsgeber,
Einlagen- und Anlegerentschädigungseinrichtungen,
...) - Entbindung vom Bankgeheimnis Die
wichtigsten Punkte der Entscheidung - Hinweis auf
Widerruf wesentlicher Teil der Zustimmung - besond
ere Informationspflicht in der Abgrenzung
zustimmungspflichtiger Datenübermittlungen von
anderen - Entbindung vom Bankgeheimnis muß auch
bei oberflächlicher Kenntnisnahme klar und
eindeutig sein - Widerspruch zu Treu und Glauben
(6 DSG 2000)
27
DSG 2000 - Grundlagen
Die wichtigsten Begriffe
28
DSG 2000 - Grundsätze

• Verwendung von Daten nach "Treu und Glauben"
  DSG2000 6
• Umsetzung der Datenschutzkonvention des
  Europarates
• Verwendung nach Treu und Glauben (Abs. 1 Z1)
• Ermittlung für festgelegte, eindeutige und
  rechtmäßige Zwecke (Abs. 1 Z2)
• Weiterverwendungsverbot für unvereinbare Zwecke
  (Abs. 1 Z2)
• Weiterverwendung für wissenschaftliche und
  statistische Zwecke ist zulässig (Abs. 1 Z2)

29
DSG 2000 - Grundsätze

• Verwendung von Daten nach "Treu und Glauben" II
• Daten müssen für den Zweck der Datenanwendung
  wesentlich sein (Abs. 1 Z3)
• Verwendung muß im Ergebnis sachlich richtig sein
  (Abs. 1 Z4)DS-RL Art. 6 lit. d Verwendung muß
  "sachlich richtig" sein
• Daten müssen, wenn nötig auf den neuesten Stand
  gebracht werden (Abs. 1 Z4)
• Aufbewahrung für die Erreichung der Zwecke
  notwendig (Ausnahmen, etwa aus gesetzlichen
  Gründen, wie Archive möglich) (Abs. 1 Z5)

30
DSG 2000 - Grundlagen
Grundlage einer rechtmässigen Datenverwendung
(7ff) Zweistufiges Konzept Es muß eine
Rechtsgrundlage für eine Datenanwendung geben (7
Abs.1) Es muß eine Rechtsgrundlage für die
Verwendung der konkreten Daten geben
(7ff) Musterbeispiele Auswertung von
Girokonten zur Anbahnung von Bausparverträgen
(OGH 4 Ob 114/91) Risikodatenbank der
Anästhesisten bezüglich von Komplikationen bei
der Narkose bei chirurgischen Eingriffen.
31
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 7 120.694/4-DSK/00
("Privatermittlungen") Vorliegen der
Übermittlungsvoraussetzung führt nicht zum Recht
Daten tatsächlich zu erhalten 120.657/8-DSK/00
("Eigenwerbung") Zum Zwecke der "Eigenwerbung"
dürfen auch Daten anderer Zwecke des
Datenverarbeiters benutzt werden
32
DSG 2000 - Grundlagen
Geheimhaltungsinteressen bei Datenverwendung
(8-nicht-sensible Daten, 9-sensible
Daten) Wann dürfen Daten verwendet
werden? (Auszug) - Rechtsgrundlage / gesetzliche
Verpflichtungen - Zustimmung des
Betroffenen - zulässig veröffentliche
Daten - notwendige Voraussetzung - überwiegende
Interessen Dritter

33
DSG 2000 - Grundlagen
Entscheidungen zu DSG2000 8/9
202.007/004-DSK/2001 ("Einsichtnahme") Sind
Daten auch nur lokal einsehbar, gelten sie als
veröffentlicht 210.380/001-DSK/2001
("Geburtsdatum") Zusätzliche Daten dürfen auf
Briefstücken nur aus besonderen Gründen
angebracht werden
34
Betroffenenrechte
35
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Informationspflicht
(24) Informationspflicht anläßlich
Ermittlung ZweckAuftraggeber Spätestens zum
Zeitpunkt der Übermittlung umfaßt auch notwendige
weitere Informationspflichten Entfällt unter
gewissen Bedingungen Informationspflicht ist
"Bringschuld" !
36
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft I (26) Auskunft ist
auf Verlangen zu geben (Abs. 1) Auskunftsfrist
sind 8 Wochen (Abs. 4) Betroffener hat am
Auskunftsverfahren über Befragung im zumutbaren
Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter
Aufwand ist zu vermeiden begründete
Auskunftsverweigerung ist möglich Auskunftsrecht
ist "Holschuld" !
37
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft II
(26) Auftraggeber hat Auskunft zu erteilen
über die verwendeten Daten in allgemein
verständlicher Form verfügbare Information über
ihre Herkunft allfällige Empfänger oder
Empfängerkreise von Übermittlungen Name und
Adresse des Dienstleisters (muß vom Betroffenen
extra verlangt werden)
38
DSG 2000 - Betroffenenrechte
Entscheidungen zu DSG2000 26
120.790/010-DSK/2002 ("Mitwirkung") Mitwirkungspf
licht inkludiert keine Beweislast 120.804/016-DSK/
2002 ("Datengeheimnis") Daten- und Bankgeheimnis
sind keine ernsthaften Auskunftsverweigerungsgründ
e, gemeinsame Auskunftsbegehren sind
möglich. 120.804/016-DSK/2002 ("Beschwerdefrist")
Beschwerde bei mangelhafter Auskunft kann nach
Erteilung der Auskunft, noch vor Ablauf der
8-Wochenfrist eingebracht werden
39
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Löschung/Richtigstellung
(27) Richtigstellungspflicht des
Auftraggebers Frist ist 8 Wochen betrifft auch
unvollständige Daten nicht benötigte und
unzulässig verarbeitete Daten sind zu
löschen Beweislast beim Auftraggeber (mit
Ausnahmen) 120.645/003-DSK/2002
("KPA-Löschung") Daten, die den angestrebten
Zweck nicht erfüllen, sind zu löschen
40
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Widerspruch / Widerruf
Zustimmung zur Verwendung von Daten kann
widerrufen werden (8) Widerspruch (28) nur bei
nicht gesetzlich vorgeschriebenen
Datenanwendungen möglich Widerspruch bei
überwiegenden, schutzwürdigen Gründen Widerspruch
bei öffentlich zugänglichen Dateien
41
DSG 2000 - Betroffenenrechte
Beschwerdestellen - Datenschutzkommission In
allen Auskunftsfällen und für alle Bereiche bei
allen öffentlich-rechtlichen Datenanwendungen - Zi
vilgericht In allen sonstigen Fällen, die durch
das DSG 2000 geregelt sind - Europäische
Kommission Für alle Bereiche der EU-Richtlinie
Datenschutz, die nicht von nationalen Gesetzen
und Behörden abgedeckt sind
42

43
DSG 2000 - Sicherheit
"alte" Strafbestimmungen u.a. - 126a StGB
Datenbeschädigung - 148a StGB Betrügerischer
Datenverarbeitungsmißbrauch - 118 Verletzung
des Briefgeheimnisses und Unterdrückung von
Briefen - 119 Verletzung des Telekommunikationsge
heimnisses - 122 Verletzung eines Geschäfts-
oder Betriebsgeheimnisses "Amts"-Bestimmungen -
Schutz des Behörden"geheimnis" (StGB 301, 302,
310)
44
DSG 2000 - Sicherheit
45
DSG 2000 - Sicherheit
Neue "cybercrime"-Bestimmungen (seit
1.10.2002) - 118a Widerrechtlicher Zugriff auf
ein Computersystem "Hacken" - 119a
Missbräuchliches Abfangen von Daten - 126b
Störung der Funktionsfähigkeit eines
Computersystems DOS-Attacken - 126c Missbrauch
von Computerprogrammen oder Zugangsdaten
"Cracken" - 225a Datenfälschung In Planung
(??.??.????) - Aufbewahrungspflicht für Telekom-
und Internetdaten
46
DSG 2000 - Sicherheit
47
DSG 2000 - Sicherheit
Sicherheitsbestimmungen (14) eher
allgemein Sicherheitsmaßnahmen haben einen
Ausgleich zwischen folgenden Punkten zu
finden Stand der Technik entsprechend wirtschaftl
ich vertretbar angemessenes Schutzniveau muß
erreicht werden Auffällig ist das FEHLEN
konkreter Sicherheitshinweise keine Empfehlungen,
keine Definitionen zum Stand der Technik, keine
vorgeschriebenen Standards, kein freiwilliges
Akkreditierungsverfahren
48
DSG 2000 - Sicherheit
Maßnahmen zur Sicherheit ausdrückliche
Aufgabenverteilung ausschließlich auftragsgemäße
Datenverwendung Belehrungspflicht der
Mitarbeiter Regelung der Zugriffs- und
Zutrittsberechtigungen Vorkehrungen gegen
unberechtigte Inbetriebnahme von
Geräten Protokollierungspflicht Dokumentationspfli
cht zur Kontrolle und Beweissicherung
49

DSG 2000 - Sicherheit
Haftung bei fehlenden Datensicherheitsmaßnahmen OG
H Entscheidung (9 Ob A 182/90) Sachverhalt Nach
Kündigung eines Mitarbeiters kam es zur Löschung
von Programmteilen, die dieser Mitarbeiter
entwickelt hatte. Ein Grund für die Löschung der
Programme konnte nicht gefunden werden. Erst nach
Ausscheiden des Mitarbeiters wurde begonnen, die
vorhandene Software zu dokumentieren. Unternehmen
wollte die Rekonstruktionskosten der Software
gegen Abfertigungsansprüche des Arbeitnehmers
"gegenverrechnen".
50
DSG 2000 - Sicherheit
Protokollierungsanforderungen
(14) Protokollierungspflicht hinsichtlich
Datenverwendung (Abs. 2 Z7) Protokollierungspflich
t nicht registrierter Übermittlungen (Abs.
3) Verwendungsbeschränkung der Protokolldaten
(Abs. 4, 5) Sicherheitsvorschriften müssen für
Mitarbeiter jederzeit einschaubar sein (Abs. 6)
51
Arbeitsrechtliche Bestimmungen

• Mitarbeiterdaten
• ArbVG kennt spezifische Informations-,
  Zustimmungs- und "ersetzbare" Zustimmungspflichten
  
• Eingriffe in Arbeitsautonomie als "berühren" der
  Menschenwürde zustimmungspflichtig
• "Überwachung" als verletzen der Menschenwürde
  verboten
• Beispiele
• Telefondatenaufzeichnung
• Inhaltskontrolle von Mails
• Video-Aufzeichnung
• Kantinenabrechnung

52
Arbeitsrechtliche Bestimmungen
53
Arbeitsrechtliche Bestimmungen

• Inhalt einer Betriebsvereinbarung
• Betroffener Personenkreis
• Systembeschreibung
• Gegenstand des Übereinkommens, Zweck der
  Verarbeitung
• Definition der verwendeten Daten
• Definition der Datennutzung
• Abgrenzung zu anderen Datenverarbeitungen
• Definition von Codes und Wertebereichen
• Maximale Dauer der gespeicherten Daten
• Vorgangsweise bei Änderung des Systems
• Anwendungs- und Auslegungsgrundsatz
• Schlichtungskommission
• Geltungszeitraum

54
Arbeitsrechtliche Bestimmungen
55
DSG 2000 - Sicherheit
Protokollierung vs. Mitarbeiterüberwachung Schei
nbarer Widerspruch zwischen 96 ArbVG und 14 DSG
2000 Verschiedene Protokollierungszwecke bedeuten
verschiedene Datenanwendungen (auch bei denselben
Daten) Mitarbeiteranweisungen sind
wesentlich! Vereinbarungen mit Betriebsrat/Persona
lvertretung sind zu beachten Maßnahmen zur
Aufdeckung eines konkreten Mißbrauchs, sind immer
zulässig!
56
DSG 2000 - Verschwiegenheit
Verpflichtung zum Datengeheimnis
(15) Mitarbeiter sind - sofern nicht berufliche
Verschwiegenheitspflichten gelten - vertraglich
zu binden. Mitarbeiter dürfen Daten nur aufgrund
einer ausdrücklichen Anordnung übermitteln. Mitarb
eiter sind über die Folgen der Verletzung des
Datengeheimnisses zu belehren. Mitarbeitern darf
aus der Verweigerung der Befolgung einer
Anordnung einer rechtswidrigen Datenübermittlung
(!) kein Nachteil erwachsen.