500 likes | 678 Views
Datenschutz Grundlagen Inhouse-Schulung Marktgemeinde Wr. Neudorf Hans G. Zeger, ARGE DATEN Wiener Neudorf, 26. Juni 2014. ARGE DATEN. Die ARGE DATEN als PRIVACY-Organisation. Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: 60-80.000 Besucher/Monat
E N D
Datenschutz GrundlagenInhouse-Schulung Marktgemeinde Wr. Neudorf Hans G. Zeger, ARGE DATEN Wiener Neudorf, 26. Juni 2014 ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation • Aktivitäten der ARGE DATEN • Öffentlichkeitsarbeit, Informationsdienst: • - Web-Service: 60-80.000 Besucher/Monat • - Newsletter: rund 4.500 Abonnenten • - 2013: rund 500 Medienanfragen/-berichte • Mitgliederbetreuung Datenschutzfragen • - 2013: ca. 600 Datenschutz-Anfragen • Rechtsschutz, PRIVACY-Services • - 2013: in ca. 200 Fällen Mitglieder in Verfahren vertreten • Zahl der betreuten Mitglieder • - aktuell: ca. 15.000 Personen • Studien- und Beratungsprojekte • A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN
Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. ARGE DATEN
Geplanter Schulungsablauf EU-Neuordnung Datenschutz Grundlagen DSG 2000 Informationspflichten & Betroffenenrechte Registrierung Strafbestimmungen ARGE DATEN
Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung ARGE DATEN
DSG 2000 - Grundlagen • Entwicklung zum DSG 2000 • 1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978)(Geltung 1.1.1980-31.12.1999) • 1995 EG-Datenschutzrichtlinie 95/46/EG • 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) • Wichtige Änderungen zum DSG 2000 (Auswahl) • 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) • 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) • 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) • 2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009) • 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) • 2013 DSG 2000 - Novelle 2013 (BGBl. I Nr. 57/2013) • 2013 DSG 2000 - Novelle 2014 (BGBl. I Nr. 83/2013) • 20?? EU - Neuordnung des Datenschutzes ARGE DATEN
DSG 2000 - Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) undInformationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten ARGE DATEN
DSG 2000 - Grundrecht • DSG 2000 § 1 (Verfassungsbestimmung): • "jede Verwendung persönlicher Daten ist verboten" • umfassender Geheimhaltungsanspruch • Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender InteressenAuftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender InteressenAuftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen - EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) ARGE DATEN
DSG 2000 - Grundlagen • DSG 2000 § 4 Z 1 • "Daten" ("personenbezogene Daten") • "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" • DSG 2000 § 4 Z 3 • "Betroffener" • "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" • Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, IP-Adressen, ), ... ARGE DATEN
DSG 2000 - Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000(kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten§ 4 Z 2 DSG 2000 ARGE DATEN
DSG 2000 - Grundlagen DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) ARGE DATEN
DSG 2000 - Grundlagen • DSG 2000 § 4 Z 6"Datei" • "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" • DSG 2000 § 4 Z 7,,Datenanwendung'' • "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" • DSG 2000 § 4 Z 8" Verwenden von Daten" • "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" ARGE DATEN
DSG 2000 - Grundlagen • Entscheidung OGH 6Ob148/00h"Abgrenzung Akten und Datei" • Unter Datei sind daher Übersichts-Karteien und Listen, nicht aber Akteninhalte und Aktenkonvolute zu verstehen. • OGH-Spruch: Daten in Akten unterliegen nicht dem Datenschutzgesetz (!) • DSK K120.810/005-DSK/2002 ("Personalakte") • "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt." • Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000, Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrechts (Personalakte) • DSK und OGH-Entscheidungen zu Papierakten werden als Richtlinien- und DSG 2000 - widrig kritisiert (u.a. Mayer-Schönberger, Datenschutz und Papierakten) ARGE DATEN
DSG 2000 - Grundlagen • DSG 2000 § 4 Z 9 "Verarbeiten von Daten" • "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" • DSG 2000 § 4 Z 12 "Übermitteln von Daten" • "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" • Entscheidung DSK K120.656/16-DSK/00"technisch unabhängig" • Übermittlung ist unabhängig von der technischen Methode ARGE DATEN
DSG 2000 - Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt Entscheidung OGH 4 Ob 221/06p ("GE ...bank") OGH 4 Ob 28/01y ("Creditanstalt") OGH 4 Ob 179/02f ("BA-CA") Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... ARGE DATEN
DSG 2000 - Grundlagen • Was ist eine gute Zustimmungserklärung? • - grundsätzlich gilt Formfreiheitauch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich • - WillenserklärungArt wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei GeschäftsleutenEmpfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen • - Kenntnis der SachlageAufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) • - konkreter FallPauschalzustimmungen, ohne besonderen Zweck sind unzulässsig • - Widerrufshinweisgesetzlich nicht vorgeschrieben, OGH tendiert jedoch dazu ARGE DATEN
Daten-anwendung Z 8 Verwenden von Daten Auftraggeber Z 4 Z 9 Z 7 Übermitteln Verarbeiten Z 12 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Überlassen Auftrag Z 11 Z 5 Dienstleister DSG 2000 - Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) ARGE DATEN
DSG 2000 - Grundlagen • Grundsätze der Verwendung von Daten (§ 6ff) • Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) • Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) • Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) • Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) • Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) • DSK 120.705/010-DSK/2001 ("gelindester Eingriff") • Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren ARGE DATEN
DSG 2000 - Grundlagen • Grundlage einer rechtmäßigen Datenverwendung • Dreistufiges Konzept • Es muss ein berechtigter Zweck für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) • Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff) • Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff) • Beispiele: • Warndatei von Risikopatienten in einem KrankenhausDürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? ARGE DATEN
DSG 2000 - Grundlagen • Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? • (1) Rechtsgrundlage • Die Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag, ...) erforderlich sein. • (2) Eignung • Die Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen. • (3) Erforderlichkeit • Es gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes). • (4) Verhältnismäßigkeit • Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). ARGE DATEN
DSG 2000 - Grundlagen • Entscheidung zu DSG 2000 § 7 • DSK K120.657/8-DSK/00 ("Eigenwerbung") • Zum Zwecke der "Eigenwerbung" dürfen auch Daten aus anderen Verwendungszwecken des Datenverarbeiters benutzt werden • Die DSK/DSB geht davon aus, dass kein schutzwürdiges Interesse (Geheimhaltungsinteresse) verletzt wird. • Das Vermerken von Spenden in einer Patientendatei wäre jedoch nach Ansicht der DSK/DSB unzulässig. • Verwendung nicht uneingeschränkt zulässig, muss mit ursprünglichem Zweck grundsätzlich vereinbar sein • Grundlage ist § 47 DSG 2000"Datenverwendung zu Verständigungszwecken" ARGE DATEN
DSG 2000 - Grundlagen • Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) • Wann dürfen Daten jedenfallsverwendet werden? (Auszug) • - Rechtsgrundlage / gesetzliche Verpflichtungen • - Zustimmung des Betroffenen • - zur Wahrung lebenswichtiger Interessen • - überwiegende Interessen Dritter / Auftraggeber(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit • - indirekt personenbezogene Daten (EU-Konformität??) • - zulässig veröffentliche Daten: • soweit berechtigter Zweck des Verwenders gegeben?soweit mit ursprünglicher Veröffentlichung vereinbar? ARGE DATEN
DSG 2000 - Veröffentlichung • Was ist eine zulässige Veröffentlichung? • Veröffentlichen von Informationen • - ist im DSG 2000 Spezialfall der Datenübermittlung • - die Veröffentlichung muss rechtlich zulässig sein • Beispiele für bedenkliche Veröffentlichungen: • - Altersjubilare in der Gemeindezeitung genannt • - Daten von Privathaushalten in einer Tourismusbroschüre angegeben (Kaprun) • - Ehrentafel aller eingemeindeten Bürger • - Teilnehmerlisten von Kongressen/Seminaren • - Klassenbilder im Schuljahresbericht • - Veröffentlichen von lokalen (Amateur-)Sportergebnissen mit Name, Adresse und Geburtsdatum im Internet • - Zusammenstellung persönlicher Daten durch Personensuchmaschinen • - Verwendung ungesicherter ("erratbarer") URLs bei Postzustellung ARGE DATEN
Recht auf Geheimhaltung (§ 1ff) Informationspflicht (§ 24) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Recht auf Widerspruch (§ 28) Recht auf Widerruf (§ 8, 9) Informationspflichten & Betroffenenrechte ARGE DATEN
DSG 2000 - Grundlagen • Entscheidungen zu § 1 DSG 2000 • DSK K121.337 / K210.380 ("Geburtsdatum") • Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht • DSK K121.805/0015-DSK/2012 ("Geburtstagsabfragen") • Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt. • OGH 11Os109/01 ("allgemeine Verfügbarkeit") • Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde ARGE DATEN
DSG 2000 - Informationspflicht • Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23) • - Mitteilung - auf Anfrage - welche Standardanwendungen betrieben werden (Abs. 1) • - Offenlegung der Standardanwendungen gegenüber DSB bei Prüfungen (Abs. 2) • Offenlegungspflicht (§ 25) • Offenlegung anlässlich von Übermittlungen und Mitteilungen an Betroffene • - Identität des Auftraggebers • - bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers ARGE DATEN
DSG 2000 - Informationspflicht • Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) • Informationspflicht anlässlich Ermittlung • Zweck • Auftraggeber • Spätestens zum Zeitpunkt der Übermittlung • Entfällt, • - bei Datenanwendungen, die durch Gesetz/Verordnungeingerichtet sind oder • - bei mangelnder Erreichbarkeit der Betroffenen oder • - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information • Informationspflicht ist "Bringschuld" des Auftraggebers! • Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) ARGE DATEN
DSG 2000 - Informationspflicht • Informationspflicht • (DSG 2000 § 24 Abs. 2a) • Betroffene sind von Datenschutzverletzungen zu informieren • - wenn schwerwiegend und systematisch • - wenn Betroffenen Schaden droht • - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" • Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. ARGE DATEN
DSG 2000 - Betroffenenrechte • Betroffenenrecht - Auskunft (§ 26) I • Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] • Auskunftsfrist sind 8 Wochen (Abs. 4) • Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) • ungerechtfertigter Aufwand ist zu vermeiden • Auskunftsrecht unabhängig • von Registrierungserfordernis [!!] • von einem Vertragsverhältnis • von tatsächlichem Vorhandensein von Daten • von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...) ARGE DATEN
DSG 2000 - Betroffenenrechte • Betroffenenrecht - Auskunft (§ 26) II • Auftraggeber hat Auskunft zu erteilen über • Zweck der Datenanwendung • die verwendeten Daten in allgemein verständlicher Form • verfügbare Information über ihre Herkunft • allfällige Empfänger oder Empfängerkreise von Übermittlungen • Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) • 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) • Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich ARGE DATEN
DSG 2000 - Betroffenenrechte • Betroffenenrecht - Auskunft (§ 26) III • begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. • - Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste • - überwiegende Interessen des Auftraggebers oder Dritter • - aus therapeutischen Gründen (Gesundheitszustand) • - formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ... • Auskunft ist einmal im Jahr bei aktuellen Daten kostenfreiansonsten tatsächliche Kosten oder pauschalierter Ersatz • Auskunftsrecht ist "Holschuld" des Betroffenen! ARGE DATEN
DSG 2000 - Auskunftsrechte • DSK K121.017/0009-DSK/2005 ("Prüfungsdaten") • Ausgangslage • - Betroffener nahm an (Berufsqualifikations-)Prüfung teil • - hatte umfangreiche Angaben zur Person zu machen • - Test wurde negativ beurteilt • - Einsicht in Beurteilung brachte schwere Mängel • - Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse • DSK-Entscheidung • - Auskunftsrecht wurde verletzt • - Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen • - ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht • - die persönlichen Daten des Prüfers sind nicht zu beauskunften ARGE DATEN
DSG 2000 - Betroffenenrechte • Betroffenenrecht - Löschung/Richtigstellung (§ 27) • - grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen • - Betroffene können Richtigstellungsantrag stellen • - Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten • Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber • Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen • Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen,Location-Based-Services, Smartphone-Daten) ARGE DATEN
DSG 2000 - Betroffenenrechte • Entscheidungen zu DSG 2000 § 27 • DSK K121.002/0008-DSK/2005 ("Verständigung") • - Antragsteller ist über Ergebnis des Löschungsbegehrens auch dann zu verständigen, wenn die Löschung verweigert wird • VfGH B 1590/03-10 ("Polizei-Daten") • - bei Wegfall der Rechtsgrundlage einer Anzeige (hier § 209 StGB, "gleichgeschlechtliche Unzucht") sind die Daten zu Löschen und nicht zu ergänzen • - Aufhebung der DSK-Entscheidung K120.846/0007-DSK/2003 • - VfGH rügt auch mangelhafte Interessensabwägung durch die DSK • DSK K121.246/0008 -DSK/2007 ("Krankengeschichte") • - kein Löschungsanspruch falscher Diagnosen, da Datenanwendung nicht Fakten, sondern die medizinische Experten-Meinung dokumentiert, daher auch kein Anspruch auf Bestreitungsvermerk (!) ARGE DATEN
DSG 2000 - Betroffenenrechte • Betroffenenrecht - Widerruf / Widerspruch • freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) • Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich • - Widerspruchsrecht besteht auch bei gegebener Zustimmung! • - in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen • - Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung • vom Widerspruch betroffene Daten sind zu löschen • Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG ARGE DATEN
DSG 2000 - Betroffenenrechte • Entscheidungen Widerspruch • OGH 6Ob195/08g • - Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos und unbegründet bei öffentlich zugänglichen Dateien möglich • - Wirtschaftsauskunftsdienste betreiben öffentliche Dateien • - Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet • siehe auch DSK K211.593/0011-DSK/2005 • - Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftsdiensten • - Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde ARGE DATEN
DSG 2000 - Kontrollbefugnisse Beschwerdeverfahren vor DSB (§ 31) - bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1)(§ 31 Abs. 1) - Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2) ARGE DATEN
Strafbestimmungen DSG 2000 EU-Neuordnung Datenschutz Genehmigung / Registrierung ARGE DATEN
DSG 2000 - Kontrollbefugnisse • Konzept der Vorabkontrolle(DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) • bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB • - DA's die sensible Daten verwenden • - DA's die in Form eines Informationsverbundsystems betrieben werden • - registrierungspflichtige Videoüberwachungen • - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten • Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich • Auflagen zum Betrieb der Datenanwendung können erteilt werden ARGE DATEN
DSG 2000 - Registrierung und Genehmigung • Registrierung von Datenanwendungen (§§ 16ff) • - Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) • - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) • - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) • - Registrierung ist kostenlos (§ 53) • - Registrierung soll Transparenz sichern (§ 16) • - Jedermann kann Einsicht in Registrierung nehmen (§ 16) • - Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) ARGE DATEN
DSG 2000 - Registrierung und Genehmigung • Registrierungsfreiheit (§ 17) • - Standardanwendungen • - DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) • - Führung öffentlich einsehbarer, gesetzlich vorgesehener Register • - ausschließlich indirekt personenbezogene Daten • - persönliche Datenanwendungen • - publizistische Datenanwendungen • - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen • - bestimmte DA‘s der Republik Österreich • - DA für Zwecke der Strafverfolgung ARGE DATEN
DSG 2000 - Strafbestimmungen • Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln] • - widerrechtliches Verschaffen eines Zugangs zu einer DA • - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA • - Übermittlung unter Verletzung des Datengeheimnisses • - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids • - widerrechtliches Löschen von Daten (§ 26 Abs. 7) • Strafrahmen: bis 25.000,- Euro • zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) • Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! ARGE DATEN
DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder ARGE DATEN
DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis 10.000,- Euro ARGE DATEN
DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro[neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden ARGE DATEN
EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht - 4.11.2010 Kommissionsmitteilung Konzept für neues Datenschutzrecht zu entwickeln - bis 14.1.2011 europaweites Konsultationsverfahren - 25.1.2012 Entwurf einer EU-Verordnung Datenschutz - geplant war bis Ende 2013 Konsultationsverfahren in Europäischem Parlament und im Rat - Oktober 2013 Abstimmung im LIBE-Ausschuß des EU-Parlaments (Verhandlungsmandat des Parlaments) - Stand März 2014 Rats-Arbeitsgruppe verhandelt noch an gemeinsamer Position ("Bremser": GB, DE) - Sommer 2014 (??) Start Trialog - Ende 2014 (??) abstimmungsfähiger Endentwurf ARGE DATEN
EU-Neuregelung des Datenschutzes • Eckpfeiler der neuen EU-Datenschutz VO • - verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung+Variante Kommission: Unternehmen ab 250 MAVariante EU-Parlament: Unternehmen ab 5.000 PersonenDS • - drastisch höhere Strafbstimmungen (an Kartellrecht angelehnt)Variante Kommission: bis zu 2% des Konzernumsatzes bzw. bis zu 1 Mio EuroVariante EU-Parlament: bis zu 5% des Konzernumsatzes • - Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten • - "doppeltes" One-Stop-Shop-System:a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde)b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden ARGE DATEN
EU-Neuregelung des Datenschutzes • Eckpfeiler der neuen EU-Datenschutz VO II • - Einführung neuer "Prinzipien":a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden")b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design")c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default") • - neue Kategorien sensibler Daten (z.B. "Gendaten") • - Klagsbefugnis für Verbände • - Vereinfachungen im internationalen Datentransfer • Geplante Maßnahmen, die schon wieder wackeln • - Schaffung von Datenportabilität ARGE DATEN
Ich danke für Ihre Aufmerksamkeit ARGE DATEN
http://www.datenschutzverein.de/ Onlineinformation http://www.argedaten.at/ http://www.dsb.gv.at/ http://ec.europa.eu/justice/policies/privacy/index_en.htm http://www.datenschutzzentrum.de/ http://www.gdd.de/ ARGE DATEN