© arge daten 2015 datenschutz grundlagen basisschulung hans g. zeger, arge daten wien, 2015 arge...
Post on 06-Apr-2016
219 Views
Preview:
TRANSCRIPT
© ARGE DATEN 2015
Datenschutz GrundlagenBasisschulung
Hans G. Zeger, ARGE DATENWien, 2015
ARGE DATEN
© ARGE DATEN 2015
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATENÖffentlichkeitsarbeit, Informationsdienst:
- Web-Service: 60-80.000 Besucher/Monat- Newsletter: rund 4.500 Abonnenten- 2014: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2014: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.
© ARGE DATEN 2015ARGE DATEN
Grundlagen DSG 2000
Besondere Bestimmungen
Genehmigung / Registrierung
Informationspflichten & Betroffenenrechte
Geplanter Seminarablauf
Sicherheit / Strafbestimmungen / Ausblick
© ARGE DATEN 2015ARGE DATEN
Grundlagen des DSG 2000
Die wichtigsten Begriffe
Zustimmung
Zulässigkeit der Datenverwendung
Rechtmäßige Datenanwendung
© ARGE DATEN 2015
Umsetzung der EU-Richtlinie "Datenschutz" (1995)soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichernArt. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."
Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische PositionBestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten
DSG 2000 - Grundlagen
ARGE DATEN
© ARGE DATEN 2015
Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen/Dritter
DSG 2000 - Grundrecht
DSG 2000 § 1 (Verfassungsbestimmung):"jede Verwendung persönlicher Daten ist verboten"
umfassender GeheimhaltungsanspruchEuroparechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)
ARGE DATEN
Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen/Dritter
© ARGE DATEN 2015ARGE DATEN
DSG 2000 § 4 Z 1 "personenbezogene Daten""Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
DSG 2000 § 4 Z 3 "Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"
DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"
DSG 2000 - Grundlagen
Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,
technische Kennzahlen (z.B. Stromverbrauchsdaten,
KFZ-Daten, IP-Adressen, ), ...
© ARGE DATEN 2015
Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)personenbezogene Daten § 4 Z 1 DSG 2000
ARGE DATEN
DSG 2000 - Grundlagen
Personenbezogene Daten
sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten
§ 4 Z 2 DSG 2000
© ARGE DATEN 2015ARGE DATEN
DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)
DSG 2000 - Grundlagen
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten""jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 14 "Zustimmung""die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"Widerruf der Zustimmung in § 8 bzw. § 9 geregeltEntscheidung OGH 4 Ob 221/06p ("GE ...bank")OGH 4 Ob 28/01y ("Creditanstalt")OGH 4 Ob 179/02f ("BA-CA")
Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen
ausVon der Zustimmung iS DSG 2000 § 4 Z 14 sind
andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ...
© ARGE DATEN 2015ARGE DATEN
Was ist eine gute Zustimmungserklärung?- grundsätzlich gilt Formfreiheit
auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich
- WillenserklärungArt wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei GeschäftsleutenEmpfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen
- Kenntnis der SachlageAufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann)
- konkreter FallPauschalzustimmungen, ohne besonderen Zweck sind unzulässsig
- Widerrufshinweisgesetzlich nicht vorgeschrieben, OGH verlangt ihn jedenfalls im Zusammenhang mit Konsumenten
DSG 2000 - Grundlagen
© ARGE DATEN 2015
Verwenden von Daten
Z 8
Übermitteln Verarbeiten
Z 9
Z 12
Daten-anwendun
gZ 7
Auftraggeber
Z 4
Dienstleister
Z 5
AuftragÜberlassen
Z 11Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...
DSG 2000 - Grundlagen
Die wichtigsten Begriffe (§ 4 DSG Z ...)
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Grundlagen
Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)
DSK 120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren
© ARGE DATEN 2015ARGE DATEN
Informationsverbundsystem
Werbung
Internationaler Datenverkehr
Kontrollbefugnisse DSB
Besondere Bestimmungen
Registrierung von Datenanwendungen
© ARGE DATEN 2015ARGE DATEN
Was ist ein Informationsverbundsystem (IVS)? (§ 50)
gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggebergeeigneter Betreiber ist zu bestellenBetreiber ist zwecks Eintrag im DVR zu meldenBetreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)es können weitere Auftraggeberpflichten an den Betreiber abgetreten werdenMeldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)Stand lt. DVR-Online: ca. 150 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Registrierung von Warndateien bei BankenDSK K095.014/021-DSK/2001
erging ursprünglich an vier Banken "Musterbescheid"Genehmigung mit Auflagen erteilt I
Eintragung von Kunden nur zulässig bei - vertragswidrig ausgestellten Schecks- vertragswidrig genutzter Bankomat- oder Kreditkarte- Aufkündigung einer Kontoverbindung +- Fälligstellung eines Kredits +- Einleitung der Rechtsverfolgung ++ Forderung übersteigt 1.000 EUR
Informationspflicht des Betroffenen VOR EintragungGrund der Warneintragung ist Betroffenen bekannt zu geben
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Bereitstellung von Adressen zu Verständigungs-/Befragungszwecken [inkl. Werbung] (§ 47)Grundsätzlich gilt: auch die Übermittlung von Adressen ist durch Betroffenen zustimmungspflichtig
Ausnahme: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen UND
- Verwendung der Daten desselben Auftraggebers (Z 1) oder- bei Benachrichtigung/Befragung durch Dritte, wenn daran
öffentliches Interesse besteht (Z 2 lit. a) oder- der Betroffene nach entsprechender Information keinen
Widerspruch eingelegt hat (Z 2 lit. b)Weitere Möglichkeiten mit Genehmigung der DSBVerwendungsbeschränkung der Adressen!
Löschungspflicht (!) nach Verwendung
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Sonderbestimmungen zu Adressenverlagen / Werbung
- § 151 GewO1994 ("Listenprivileg" der Adressenverlage)- § 107 TKG 2003 (Werbeverbot Telefon/Fax/e-mail/SMS)
GewO-Bestimmung ist Weitergabeermächtigung- Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte
Daten ohne Zustimmung des Betroffenen weitergeben- auf Widerspruchsmöglichkeit muss hingewiesen werden- zulässige Datenarten: Namen, Geschlecht, Titel, akademischer
Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei
- gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten!
- Löschungsanspruch gegenüber gewerblichen Adressenverlagen!
DSG 2000 - Spezialregelungen
© ARGE DATEN 2015ARGE DATEN
Registrierung von Datenanwendungen (§§ 16ff)
- Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17)
- Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17)
- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21)
- Registrierung ist kostenlos (§ 53)- Registrierung soll Transparenz sichern (§ 16)- Jedermann kann Einsicht in Registrierung nehmen (§ 16)- Vereinfachte Registrierung bei Muster-Datenanwendungen
(§ 19)
DSG 2000 - Registrierung und Genehmigung
© ARGE DATEN 2015ARGE DATEN
Registrierungsfreiheit (§ 17)
- Standardanwendungen- DA enthält ausschließlich (!) veröffentlichte Daten
(typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich
vorgesehener Register- ausschließlich indirekt personenbezogene Daten- persönliche Datenanwendungen- publizistische Datenanwendungen- manuelle Datenanwendungen, die nicht der
Vorabkontrolle unterliegen- bestimmte DA‘s der Republik Österreich- DA für Zwecke der Strafverfolgung
DSG 2000 - Registrierung und Genehmigung
© ARGE DATEN 2015ARGE DATEN
Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungsfreiheit (EU: "Datenexport")
- innergemeinschaftlicher Datenverkehr- gleichwertige Datenschutzgesetzgebung- im Inland zulässigerweise veröffentlichte Daten- notwendige Grundlage zur Vertragserfüllung mit
Betroffenen- persönliche oder publizistische DA‘s- mit Zustimmung des Betroffenen- wenn Datenverkehr in Standard- und
Musteranwendungen vorgesehen- bei Akten und Dokumenten (Entscheidung DSK
K178.074/13-DSK/00 "gegenseitige Information zu Waffenexporten")
- Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!)
DSG 2000 - Internationaler Datenverkehr
© ARGE DATEN 2015ARGE DATEN
Genehmigungsfrei (weil gleichwertig)- gleichwertig auf Grund EWR-Verträge
Island, Norwegen, Liechtenstein- gleichwertig gem. Kommissionsentscheidung
Schweiz (27.7.2000), Kanada (15.1.2002), Argentinien (30.6.2003), Israel (31.1.2011), Uruguay (23.8.2012), Neuseeland (30.1.2013)+ Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey
- USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen)
bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern
DSG 2000 - Internationaler Datenverkehr
Safe Harbour wurde gekippt auf Grund EuGH-Entscheidung C-362/14, 6.10.2015
© ARGE DATEN 2015ARGE DATEN
Internationaler Datenverkehr II (§§ 12, 13, 55)Genehmigungspflichtin allen anderen Fällen besteht Genehmigungspflicht (§ 13)die Genehmigung hat die DSB zu erteilen:
- die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2)
- im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen]
- Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2)
- Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2)
- seit 1.1.2003 sind vor 1.1.2000 erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich)
DSG 2000 - Internationaler Datenverkehr
© ARGE DATEN 2015ARGE DATEN
Datenschutzaufsicht (§§ 35-40)bis 31.12.2013: Datenschutzkommission (DSK) - Oberste Kontrollbehörde [jedoch nicht für alle Bereiche]- als "unabhängige" Instanz eingerichtet (Form eines
Tribunals)- 6 Mitglieder + 6 Ersatzmitgliederab 1.1.2014: Datenschutzbehörde (DSB)- Mit 1.1.2014 wird aus bisheriger "Datenschutzkommission"
DatenschutzbehördeEntscheidungen als Verwaltungsbehörde
- BVwG wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat
- Kommission (bis 31.12.13) und Behörde (ab 1.1.2014) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder
DSG 2000 - Kontrollbestimmungen
© ARGE DATEN 2015ARGE DATEN
Informationspflichten & Betroffenenrechte
Recht auf Geheimhaltung (§ 1ff)
Recht auf Auskunft (§ 26)
Recht auf Berichtigung & Löschung (§ 27)
Informationspflicht (§ 24)
© ARGE DATEN 2015ARGE DATEN
Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)Informationspflicht anlässlich Ermittlung
ZweckAuftraggeber
Spätestens zum Zeitpunkt der ÜbermittlungEntfällt,
- bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder
- bei mangelnder Erreichbarkeit der Betroffenen oder- bei Unwahrscheinlichkeit der Beeinträchtigung der
Betroffenenrechte und Höhe der Kosten der Information
Informationspflicht ist "Bringschuld" des Auftraggebers!Bei Kundenbeziehungen leicht zu erfüllen, ein Problem
jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden
(z.B. Adressenverlagen / Informationsdiensten)
DSG 2000 - Informationspflicht
© ARGE DATEN 2015ARGE DATEN
Informationspflicht(DSG 2000 § 24 Abs. 2a)Betroffene sind von Datenschutzverletzungen zu informieren
- wenn schwerwiegend und systematisch- wenn Betroffenen Schaden droht- Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch"
Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich
reduziert wurde.
DSG 2000 - Informationspflicht
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Auskunft (§ 26) IAuskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]Auskunftsfrist sind 8 Wochen (Abs. 4)Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)
ungerechtfertigter Aufwand ist zu vermeidenAuskunftsrecht unabhängig
von Registrierungserfordernis [!!]von einem Vertragsverhältnisvon tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...)
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Auskunft (§ 26) IIAuftraggeber hat Auskunft zu erteilen über
Zweck der Datenanwendungdie verwendeten Daten in allgemein verständlicher Formverfügbare Information über ihre Herkunftallfällige Empfänger oder Empfängerkreise von ÜbermittlungenName und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden)
4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7)Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich DSK K121.514/0008-DSK/2009 Fax & E-Mail erfüllen Schriftform
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Auskunft (§ 26) IIIbegründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a.- Schikaneverbot: Betroffener wurden Daten schon
mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste
- überwiegende Interessen des Auftraggebers oder Dritter- aus therapeutischen Gründen (Gesundheitszustand)- formale Gründe: fehlender Identitätsnachweis, fehlender
Kostenersatz, fehlende Mitwirkung, ...
Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei
ansonsten tatsächliche Kosten oder pauschalierter Ersatz
Auskunftsrecht ist "Holschuld" des Betroffenen!
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Betroffenenrecht - Löschung/Richtigstellung (§ 27)
- grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen
- Betroffene können Richtigstellungsantrag stellen- Verpflichtung gilt auch für unvollständige Daten, veraltete
Daten, irreführende DatenBeweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim AuftraggeberJedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen
Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen,Location-Based-Services, Smartphone-App-Daten)
DSG 2000 - Betroffenenrechte
© ARGE DATEN 2015ARGE DATEN
Weitere Bestimmungen
Sicherheit
Strafbestimmungen DSG 2000
EU-Neuordnung Datenschutz
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Sicherheit
Sicherheitsbestimmungen (§ 14)Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:
Stand der Technik entsprechendwirtschaftlich vertretbarangemessenes Schutzniveau muss erreicht werden
rechtlich-organisatorische Sicherheitsmaßnahmen
- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von
Geräten- Protokollierungspflicht
© ARGE DATEN 2015ARGE DATEN
DSG 2000 - Verschwiegenheit
Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen.
Bereitstellungspflicht der Datensicherheits-maßnahmen für Mitarbeiter (§ 14 Abs. 6)
© ARGE DATEN 2015ARGE DATENARGE DATEN
Umsetzung DatenschutzKonsequenzen aus mangelhaften Datenschutz
- Verwaltungsstrafe: nach DSG 2000 § 52Verwaltungsübertretung mit Strafe bis 25.000,- Euro, Verletzung IT-Sicherheit: bis 10.000,- Euro
- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung
- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen
- immaterieller Schadenersatz: bei bloßstellenden Folgen § 33 DSG 2000, § 1328a ABGB, Medienrecht
- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB
- Imageschaden: Verpflichtung zur Bekanntgabe von Sicherheitsverletzungen gemäß DSG 2000 § 24 Vertrauensverlust von Kunden und Öffentlichkeit
© ARGE DATEN 2015
EU-Neuregelung des Datenschutzes
Fahrplan zu einem neuen EU-Datenschutzrecht
- 4.11.2010 Kommissionsmitteilung Konzept für neues Datenschutzrecht zu entwickeln
- bis 14.1.2011 europaweites Konsultationsverfahren- 25.1.2012 Entwurf einer EU-Verordnung
Datenschutz - geplant war bis Ende 2013 Konsultationsverfahren
in Europäischem Parlament und im Rat- Oktober 2013 Abstimmung im LIBE-Ausschuß des
EU-Parlaments (Verhandlungsmandat des Parlaments)
- Juni 2015 Rats-Arbeitsgruppe beschließt gemeinsame Position
- Sommer 2015 Start Trilog- Ende 2015 (??) abstimmungsfähiger EndentwurfARGE DATEN
© ARGE DATEN 2015
EU-Neuregelung des Datenschutzes
Eckpfeiler der neuen EU-Datenschutz VO- verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung + Variante Kommission: Unternehmen ab 250 MAVariante EU-Parlament: Unternehmen ab 5.000 PersonenDS
- drastisch höhere Strafbstimmungen (an Kartellrecht angelehnt)Variante Kommission: bis zu 2% des Konzernumsatzes bzw. bis zu 1 Mio EuroVariante EU-Parlament: bis zu 5% des Konzernumsatzes
- Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten
- "doppeltes" One-Stop-Shop-System:a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde)b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden
ARGE DATEN
© ARGE DATEN 2015
EU-Neuregelung des Datenschutzes
Eckpfeiler der neuen EU-Datenschutz VO II- Einführung neuer "Prinzipien":
a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden")b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design")c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default")
- neue Kategorien sensibler Daten (z.B. "Gendaten")- Klagsbefugnis für Verbände- Vereinfachungen im internationalen Datentransfer
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Ich danke für Ihre Aufmerksamkeit
© ARGE DATEN 2015ARGE DATEN
http://www.argedaten.at/
http://www.dsb.gv.at/ http://ec.europa.eu/justice/policies/privacy/index_en.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
Onlineinformation
http://www.datenschutzverein.de/
top related