2.16k likes | 2.31k Views
Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2014 Download: http://www.e-monitoring.at/static/vo-ds-internet.pdf. Grundfragen. Was ist überhaupt "Datenschutz"?
E N D
Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2014Download: http://www.e-monitoring.at/static/vo-ds-internet.pdf VO SS2014 - Juridicum
Grundfragen • Was ist überhaupt "Datenschutz"? • - 1890 formulierten Warren/Brandeis in der Harvard Law Review ein "right to be let alone" (The Right to Privacy), gilt als Beginn des modernen Privatsphäregedankens • - 70er-Jahre europaweit diverse Datenschutzinitiativen als Gegenbewegung zu Entwicklungen in der Computertechnik (inkl. Europarat, OECD) • - 1978 im öDSG Datenschutz als Interpretation des Art. 8 EMRK (Teil des Privat- und Familienlebens), im DSG 2000 beibehalten • - 2009 Datenschutz wird eigenes Grundrecht in EU-Grundrechtecharta • - 1983 deutsches Volkszählungsurteil "informationelles Selbstbestimmungsrecht" (Bundesverfassungsgericht) • - 2008 deutsches Online-Durchsuchungsurteil formuliert "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (Bundesverfassungsgericht) • "Datenschutz" als moderne Ausformung von Grundrechten VO SS2014 - Juridicum
Grundfragen • Was ist das Internet? • - technische Infrastruktur ("Unternehmensvernetzung", "virtual private networks", "IP-Telefonie", ...) • - Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", "Musik-Download", ...) • - Informationsvermittlung ("soziales Medium", "Stammtisch", "sozialer Treffpunkt", ...) • - Erweiterung der Privatsphäre ("eMail", "Weblog"/Tagebuch, "Erweiterung des Freundeskreis", ...) • - politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren", ...) • Abgrenzung nicht immer offensichtlich, können zu gegensätzlichen Interessen führen VO SS2014 - Juridicum
Anwendungsfälle Datenschutz • Welche (Internet-)Situationen sind überhaupt datenschutzrelevant? • - Vereinbarung mit dem Provider, Tätigkeit der Provider (z.B Vertraulichkeit des eMail-Verkehrs) • - Bestellungen im Internet ("eCommerce") • - elektronische Amtswege und öffentliche Verwaltung, Vorschreibungen ("eGovernment") • - Nutzung personalisierter und/oder kostenpflichtiger Informationsdienste ("Online-Services", "Apps") • - Selbstdarstellung / Meinungsäußerung ("Web2.0", "Social Media") • - Veröffentlichung persönlicher Daten durch Dritte • - Nutzung als Infrastruktur (virtuelle Unternehmensnetze, Intranet, Extranet) • - sonstige Internetnutzungen: ???? VO SS2014 - Juridicum
Anwendbare Bestimmungen • Wo finden sich zum Internet datenschutzrelevante Bestimmungen? • - DSG 2000 (Verarbeitungsvoraussetzungen, Schutzbestimmungen) • - TKG 2003 (Verarbeitungsvoraussetzungen, Schutzbestimmungen, Auskunftspflichten, Dienstleister) • - ABGB Privatsphärebestimmung (Schutzbestimmung) • - SPG (Auskunftspflichten) • - ECG (Dienstleister, Haftung, Auskunftspflichten) • - StPO (Auskunftspflichten) • - UrhG (Auskunftspflichten) • - Materiegesetze, wie E-Government Gesetz, Gesundheitstelematikgesetz, ...) VO SS2014 - Juridicum
Schutz der Privatsphäre - Übersicht • Bestimmungen zum Schutz der Privatsphäre • • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • • StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • • § 1 DSG 2000 (Geheimhaltung Daten) • • § 16 ABGB (angeborene Rechte) • • StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) • • TKG 2003 § 93 (Kommunikationsgeheimnis) • • MedienG § 7ff (Bloßstellung) • • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz), § 87 Abs 2 (Entschädigung) • • Regelungen für einzelne Berufsgruppen • • ABGB § 1328a (Bloßstellung) • • StGB § 107a (Anti-Stalking-Bestimmung) VO SS2014 - Juridicum
Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung VO SS2014 - Juridicum
DSG 2000 - Grundlagen • Entwicklung zum DSG 2000 • 1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978)(Geltung 1.1.1980-31.12.1999) • 1995 EG-Datenschutzrichtlinie 95/46/EG • 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) • Wichtige Änderungen zum DSG 2000 (Auswahl) • 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) • 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) • 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) • 2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009) • 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) • 2013 DSG 2000 - Novelle 2013 (BGBl. I Nr. 57/2013) • 2013 DSG 2000 - Novelle 2014 (BGBl. I Nr. 83/2013) • 20?? EU - Neuordnung des Datenschutzes VO SS2014 - Juridicum
DSG 2000 - Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) undInformationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten VO SS2014 - Juridicum
DSG 2000 - Grundrecht • DSG 2000 § 1 (Verfassungsbestimmung): • "jede Verwendung persönlicher Daten ist verboten" • umfassender Geheimhaltungsanspruch • Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender InteressenAuftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen VO SS2014 - Juridicum
DSG 2000 - Grundlagen • DSG 2000 § 4 Z 1 • "Daten" ("personenbezogene Daten") • "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" • DSG 2000 § 4 Z 3 • "Betroffener" • "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" • Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, Stromverbrauchsdaten, ...) VO SS2014 - Juridicum
DSG 2000 - Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000(kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten§ 4 Z 2 DSG 2000 VO SS2014 - Juridicum
DSG 2000 - Grundlagen • DSG 2000 § 4 Z 2("sensible" Daten) • Daten natürlicher Personen über • rassische und ethnische Herkunft • politische Meinung • Gewerkschaftszugehörigkeit • religiöse und philosophische Überzeugung • Gesundheit • Sexualleben • Probleme kann die Abgrenzung bereiten, z.B. Bestellungen von "Gesundheitsprodukten", Nutzung von Sexseiten, ... VO SS2014 - Juridicum
DSG 2000 - Grundlagen DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) VO SS2014 - Juridicum
DSG 2000 - Grundlagen • DSG 2000 § 4 Z 7,,Datenanwendung'' • "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" • DSG 2000 § 4 Z 9"Verarbeiten von Daten" • "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" • DSG 2000 § 4 Z 12"Übermitteln von Daten" • "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" • Übermittlung ist unabhängig von der technischen Methode VO SS2014 - Juridicum
DSG 2000 - Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf in § 8 bzw. § 9 DSG 2000 geregelt Entscheidungen:OGH 4 Ob 221/06p 20.3.2007 ("GE ...bank")OGH 4 Ob 179/02f 19.11.2002 ("BA-CA") Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... VO SS2014 - Juridicum
DSG 2000 - Grundlagen • Was ist eine geeignete Zustimmungserklärung? • - grundsätzlich gilt Formfreiheitauch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich • - WillenserklärungArt wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei GeschäftsleutenEmpfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen • - Kenntnis der SachlageAufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) • - konkreter FallPauschalzustimmungen, ohne besonderen Zweck sind unzulässsig • - Widerrufshinweisgesetzlich nicht vorgeschrieben, OGH verlangt sie jedenfalls bei Konsumentengeschäften VO SS2014 - Juridicum
Daten-anwendung Z 8 Verwenden von Daten Auftraggeber Z 4 Z 9 Z 7 Übermitteln Verarbeiten Z 12 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Überlassen Auftrag Z 11 Z 5 Dienstleister DSG 2000 - Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) VO SS2014 - Juridicum
DSG 2000 - Grundlagen • Grundsätze der Verwendung von Daten (§ 6ff) • Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) • Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) • Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) • Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) • Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung] • K120.705/010-DSK/2001 14.9.2001 ("gelindester Eingriff") • Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren VO SS2014 - Juridicum
DSG 2000 - Grundlagen • Grundlage einer rechtmäßigen Datenverwendung • Dreistufiges Konzept • Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) • Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff) • Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff) • Beispiel: • Dürfen Personendaten auf eBay versteigert bzw. ersteigert werden? VO SS2014 - Juridicum
DSG 2000 - Grundlagen • Geheimhaltungsinteressen bei Datenverwendung(§ 8-nicht-sensible Daten, § 9-sensible Daten) • Wann dürfen Daten jedenfallsverwendet werden? (Auszug) • - Rechtsgrundlage / gesetzliche Verpflichtungen • - Zustimmung des Betroffenen • - zur Wahrung lebenswichtiger Interessen • - überwiegende Interessen Dritter / Auftraggeber(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit • - indirekt personenbezogene Daten (EU-Konformität??) • - zulässig veröffentliche Daten: • soweit berechtigter Zweck des Verwenders gegeben?soweit mit ursprünglicher Veröffentlichung vereinbar? VO SS2014 - Juridicum
DSG 2000 - Einrichtungen • Einrichtungen / Zuständigkeiten bei DSG-Verletzungen • - Datenschutzbehörde (formlos) [seit 1.1.2014 ] • - Kontroll- und Registrierungsstelle für alle Datenverarbeiter, - Beschwerdestelle in Auskunftsfällen für alle Datenverarbeiter und - für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen (§§ 30f, 35ff DSG 2000) • - Zivilgericht (Anwaltspflicht) • In allen sonstigen Beschwerdefällen, die durch das DSG 2000 geregelt sind (§ 32 DSG 2000) • - Magistrat / Bezirkshauptmannschaft (formlos) • Anzeigen gem. § 52 DSG 2000 • - Staatsanwaltschaft / Polizei (formlos) • Anzeigen gem. § 51 DSG 2000 VO SS2014 - Juridicum
DSG 2000 - Aufsicht • Organisationsänderungen der Aufsichtsbehörde • - Schaffung des Bundesverwaltungsgericht BVwG, Auflösung der Behörden mit "richterlichem" Einschlag (DSG-Novelle 5.6.2012) • - Entscheidung des EuGH wegen mangelnder Unabhängigkeit der DSK (EuGH 16.10.2012 Rs C-614/10, DSG-Novelle 19.3.2013) • - Schaffung einer Behörde, die die Aufgaben der DS-Richtlinie 95/46/EG erledigt (DSG-Novelle 2014) • Konsequenzen • - Mit 1.1.2014 wird aus bisheriger "Datenschutzkommission" DatenschutzbehördeEntscheidungen als Verwaltungsbehörde (+Beirat) • - BVwG wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat • - Kommission (bis 31.12.13) und Behörde (ab 1.1.2014) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder VO SS2014 - Juridicum
DSG 2000 - Kontrollbestimmungen • Datenschutzaufsicht (§§ 35-40) seit 1.1.2014: • Datenschutzbehörde (DSB) • - Kontrollbehörde erster Instanz (Verwaltungseinrichtung)Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK-Bericht 2009), EU-Schnitt: 45 Personen!(Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere) • Bundesverwaltungsgericht (DSB) • - Beschwerde- und Aufsichtsstelle (zweite Instanz) VO SS2014 - Juridicum
DSG 2000 - Kontrollbefugnisse • Kontrollbefugnisse der DSB I • (DSG 2000 § 22a "Überprüfung der Meldepflicht") • - DSB kann jederzeit Erfüllung der Meldepflicht prüfen • - bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen • - DSB kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich • - Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen • - wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten ARGE DATEN VO SS2014 - Juridicum
DSG 2000 - Kontrollbefugnisse • Kontrollbefugnisse der DSB II • (DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung) • - DSB kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen • - Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken") ARGE DATEN VO SS2014 - Juridicum
DSG 2000 - Kontrollbefugnisse • Konzept der Vorabkontrolle(DSG2000 § 10, § 18 Abs. 2, § 20, 21, 30, § 10) • bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB • - DA's die sensible Daten verwenden • - DA's die in Form eines Informationsverbundsystems betrieben werden • - registrierungspflichtige Videoüberwachungen • - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten • Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich • Auflagen zum Betrieb der Datenanwendung können erteilt werden VO SS2014 - Juridicum
Internet und Datenschutz • In welchem Umfang ist DSG auf das Internet anwendbar?Dazu sind Vorfragen zu klären: • - Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? • - Ist eMail-Verkehr eine Datenanwendung? • - Wann handelt es sich um personenbezogene Daten?Was sind die Mindestangaben, um von Personenbezug sprechen zu können?Name, Adresse, IdentifikationsdateneMail-AdresseIP-Adresse, Matrikelnummer (z.B. e0640132)Kundennummer/BenutzerkennungCookies, Computersignatur, ... • - Ist ein berechtigter Zweck gegeben? VO SS2014 - Juridicum
Beispiele / Entscheidungen Webseite als Datenanwendung Bedeutung der IP-Adresse Veröffentlichung von Informationen Web-Zugriffsstatistik Zweck der Datenanwendung VO SS2014 - Juridicum
Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Fall Lindqvist Frau Lindqvist war/ist Reinigungskraft besuchte einen Web-Programmierkurs ehrenamtlich in der lokalen Kirche tätig • Produzierte eine persönliche Webseite • enthalten: • - Informationen über sich und Ehemann • - 16 namentlich genannte Konfirmanten/Kirchenmitarbeiter • - "lustige" Beschreibung der Interessen dieser Personen • - Information über eine Beinverletzung einer Person und dass sie nicht am Unterricht teilnehmen kann VO SS2014 - Juridicum
Beispiele / Entscheidungen • EuGH-Entscheidung C-101/01 Lindqvist II • Frau Lindqvist löscht sofort nach Verlangen • - trotzdem Strafverfahren, weil Datenverarbeitung nicht registriert • - Strafe von 4000 SEKronen (ca. 430 Euro) • Im Zuge des Verfahrens wurde EuGH von schwedischem Gericht mit einer Reihe von Fragen angerufen: • - Ist eine Website eine Datenverarbeitung? • - Gelten die Ausnahmebestimmungen für private Webseiten? • - Handelt es sich um sensitive Daten? • - Liegt (genehmigungspflichtiger) internationaler Datenverkehr vor? • - Schränkt das EG-Datenschutzrecht unzulässig die Freiheit der Meinungsäußerung ein? • - Gibt die Richtlinie 95/46/EG nur einen Mindeststandard vor? JA NEIN JA NEIN NEIN NEIN VO SS2014 - Juridicum
Root Nameservice, ca. 123 Rootserver, weltweit verteilt nationales Nameservice, TLD-Server, nic.at orf.at ? 100.255.255.255 ? 99.255.255.255 ? www.orf.at/inhalt ? Datenbank Inhaber IP-Adressen und Domainnamen Providerwolke A Providerwolke B Nameservice, meist Provider Vienna Internet Exchange 100.255.255.255 / 99.255.255.255 WHOIS www.orf.at? 100.255.255.255 / 99.255.255.255 IP-Adresse Anbieter 99.255.255.255 IP-Adresse Benutzer 100.255.255.255 Abruf Webseite www.orf.at/inhalt Webserver www.orf.at Benutzersicht Grundlagen Internet Was passiert bei der Internetkommunikation? VO SS2014 - Juridicum
Grundlagen Internet Organisation im Internet I ICANN = Internet Corporation for Assigned Names and Numbersprivatrechtliche Non-Profit-Organisation US-amerikanischen Rechts Sitz Marina del Rey (nahe Los Angeles)seit 2009: Übereinkommen mit US-Handelsministerium (DOC), davor Aufsicht durch DOC, Beirat mit Regierungsvertretern: Governmental Advisory Committee (GAC). IANA = Internet Assigned Numbers Authorityoperative Nummernverwaltung (IP-Adressen, Protokolle und Ports) mit Teilorganisationen VO SS2014 - Juridicum
Grundlagen Internet • Organisation im Internet II • Root-Nameservice (A-M) • VeriSign/US/verteilt (A,J), University of Southern California/US (B), Cogent/US/verteilt (C), University of Maryland/US (D), NASA/US (E), ISC[University of California, Berkeley]/US/verteilt (F), USDoD /US (G), USArmy/US (H), nordu/SE/verteilt (I), RIPE/NL/verteilt (K), ICANN/US (L), WIDE Project/JP (M) • - 13 Knoten, 123 Server (letzter verfügbarer Stand Ende 2006) • - US-Dominanz • - Koordinations- und Publikationsinstanz: Verisign (nach Auftrag von ICANN, Genehmigung U.S. Department of Commerce) • Bei Ausfall dieses Services ist weltweit kein Internetbetrieb im gewohnten Umfang möglich! VO SS2014 - Juridicum
Grundlagen Internet • Wie erfahre ich etwas über Internetkommunikation? • - IP-Adress(Range)-Information (http://www.db.ripe.net/) • - IP-Lookup-Information (http://www.dnsstuff.com/) • - Traceroute (http://www.dnsstuff.com/) • - Domain-Name-Service (http://www.dnsstuff.com/) • - Standortinformation (http://www.ip-adress.com/) • - System-Information zu eMail, Browser, Server (http://www.netcraft.com) • - Portscan/Schwachstellenanalyse (http://www.nessus.org/) • Beispiele IP-Adressen: • - 194.232.104.22 [ORF] • - 91.114.3.197 [Erste Sparinvest] • - 91.112.60.226, 91.112.191.38, 88.117.177.94 [persönliche Adressen] • - 92.193.83.188, 88.117.118.76 [Dynamic IP Addresses] VO SS2014 - Juridicum
Zahl der Bits Zieladresse Absendeadresse Inhalt Grundlagen Internet IP-Datenpaket - Keine Trennung von Adress- und Inhaltsinformation IHL = IP Header Length, TOS = Type of Service, Total Length = Paketgröße (max, 65.535 Byte), Identification = Kennung des Paketes, Time to Live = Lebensdauer VO SS2014 - Juridicum
Beispiele / Entscheidungen • DSK-Entscheidung zur IP-Adresse(Empfehlung K213.000/0005-DSK/2006 29.9.2006) • Ausgangslage • Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte. • Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte • DSK-Empfehlung • - IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten) • - bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden • - die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig VO SS2014 - Juridicum
Demobeispiele Veröffentlichung • Was ist eine zulässige Veröffentlichung? • Veröffentlichen von Informationen • - ist im DSG 2000 Spezialfall der Datenübermittlung • - die Veröffentlichung muss rechtlich zulässig sein • Wertungsunterschiede international • - KFZ-Datenbank der Schweiz (Beispiel: http://www.viacar.ch/eindex/login.aspx?kanton=ag) • - Sexualstraftäterdatei USA(http://www.nsopr.gov/) • - Sexualstraftäterdatei GB(Google-Suche nach "schotte sex fahrrad") • Zugang wird laufend modifiziert um "Missbrauch" zu verhindern:meist CAPTCHA Codes verwendet = Completely Automated Public Turing test to tell Computers and Humans Apart VO SS2014 - Juridicum
Demobeispiele Veröffentlichung • Was ist eine (un)zulässige Veröffentlichung im Internet? • - Veröffentlichen von Hausbesorgerdaten (OLG Innsbruck, Beschlüsse vom 27.9.1999, 1 R 143/99 und 28.3.2000, 1 R 30/00x) • - Private Schuldnerfahndunghttp://www.seastar.at/Exekutionen.htmsiehe auch Mandatsbescheid DSK K211.505/002-DSK/2004 20.1.2004 • - Veröffentlichen von Mitarbeiter-/Schüler-/Studentenfotoszusätzlich Bildnisschutz § 78 UrhG beachten OGH 8ObA136/00h 5.10.2005 • - Teilnehmerlisten (Sportveranstaltungen, Schulen, Universitätsveranstaltungen, ...) • - WHOIS-Daten (technische Internet-Informationen) • - Lehrerbewertung: Freie Meinungsäußerung hat VorrangBundesgerichtshof VI ZR 196/08 23.6.2009 http://www.spickmich.de/ • Dreistufiges Konzept zur Zulässigkeit ist zu beachten! VO SS2014 - Juridicum
Wäre durch Löschung des Familiennamens Luftbild-Veröffent-lichung saniert? Demobeispiele Veröffentlichung Herold verknüpftTelefonbuchsuchemit LuftbildFragen:Handelt es sich bei Luftbild um personenbezogene Information? Ist Zustimmung erforderlich? Erfüllt Veröffentlichung berechtigten Zweck? http:/www.herold.at/ VO SS2014 - Juridicum
möglicher Anwendungsfall Veröffentlichung VO SS2014 - Juridicum
"offizieller" Diskussionsbeitrag Demobeispiele Veröffentlichung Diskussionsforum eines Mediendiensteshttp://www.vol.at/news/vorarlberg/artikel/fpoe-will-minarette-verhindern/cn/news-20080221-07015646 VO SS2014 - Juridicum
Demobeispiele Veröffentlichung Diskussionsforum eines Mediendienstes IIhttp://www.vol.at/news/vorarlberg/artikel/fpoe-will-minarette-verhindern/cn/news-20080221-07015646 "inoffizieller" Diskussionsbeitrag eMail-Adresse und IP-Adresse unkenntlich gemacht VO SS2014 - Juridicum
Demobeispiele Veröffentlichung • Diskussionsforum eines Mediendienstes III • - Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)? • - Handelt es sich um eine Datenanwendung im Sinne des DSG? • - Besteht eine Rechtsgrundlage für die Veröffentlichung?(berechtigter Zweck, zulässige Datenverwendung, Registrierungserfordernis) • - Welche Bestimmungen/Regulierungen sind anzuwenden? • - Verhalten bei Kenntnisnahme durch Internetbenutzer? • - Wer ist für Aufsicht verantwortlich / Welche Zuständigkeit? • - Welche Sanktionen sind vorgesehen? VO SS2014 - Juridicum
Demobeispiele Veröffentlichung http://www.sexpunkt.at/ [Website seit 2011 nicht mehr aktiv] VO SS2014 - Juridicum
Demobeispiele Veröffentlichung öffentlich zugängliche Besucherstatistik zusexpunkt.at VO SS2014 - Juridicum
Demobeispiele Veröffentlichung öffentlich zugängliche Besucherstatistik zu "zärtliche Nicole"http://zaertliche-nicole.com/ [Counter 2011 nicht mehr aktiv] VO SS2014 - Juridicum
Demobeispiel Online-Anmeldung Veranstaltungsanmeldung http://www.b2bnetwork.at/ VO SS2014 - Juridicum
Googles Street-View Aufzeichnung "öffentlichen" Verhaltens http://maps.google.com/help/maps/streetview - handelt es sich überhaupt um personenbezogene Datenverarbeitung? - Google sagt zu, Personen vor Veröffentlichung zu "verpixeln" - Was ist zu den Street-View-Funseiten zu sagen?http://www.streetviewfun.com/ http://streetviewr.com/ VO SS2014 - Juridicum
Googles Street-View • DSK genehmigt 2011 Street-View Anwendung mit drei Empfehlungen (K213.120/0002-DSK/2012 14.2.2012) • - Aufnahmen von Personen in sensiblen Bereichen sind die Gesamtbilder der Personen unkenntlich zu machen: etwa Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen • - für Spaziergänger nicht einsehbare Immobilien (umzäunte Privatgärten und -höfe) sind vor Veröffentlichung im Internet unkenntlich zu machen • - Schaffung eines einfachen Widerspruchsrechts nach § 28 Abs. 2 DSG 2000 VO SS2014 - Juridicum