© ARGE DATEN 2011
ARGE DATEN
Datenschutz-BeauftragterBürokratischer Balast oder wichtiger
Sicherheitsbeitrag?Hans G. Zeger, ARGE DATEN
Wien, CMG-AE, 4. Oktober 2011
© ARGE DATEN 2011
ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATEN
Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat
- Newsletter: rund 4.500 Abonnenten
- 2010: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2010: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2010: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
A-CERT - Zertifizierungsdienstleister gem. SigG
© ARGE DATEN 2011
ARGE DATEN
Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.
© ARGE DATEN 2011
ARGE DATEN
Daten"schutz" heute
International
- März 2011 Sony werden mehrere MillionenBenutzerdaten gestohlen
Österreich
- rund zehn Jahre lang wurden Exekutionsdaten aus dem Justizministerium entwendet
- Beamte werden wegen illegaler EKIS-, ZMR- und KFZ-Abfragen verurteilt
- GIS-, SP- und FP-Website werden "gehackt"
- Polizistendaten werden veröffentlicht
- Sozialversicherungsdaten liegen frei im Netz herum
Die Datenschutzdebatte ist auch in Österreich angekommen, sind die Organisationen darauf
vorbereitet?
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 - Grundlagen
Entwicklung zum DSG 20001978 erstes Datenschutzgesetz - DSG (BGBl.
Nr. 565/1978)(Geltung 1.1.1980-31.12.1999)
1995 EG-Datenschutzrichtlinie 95/46/EG1999 Datenschutzgesetz - DSG 2000 (BGBl. I
Nr. 165/1999)
Änderung des DSG 20002009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)2009 Partnerschaft-Gesetz (BGBl. I Nr.
135/2009)
Änderung(en) auf EU-Ebene20?? EU - Neuordnung des Datenschutzes
© ARGE DATEN 2011
ARGE DATEN
Umsetzung der EU-Richtlinie "Datenschutz" (1995)
soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern
Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."
Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren
EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"
DSG 2000 - Grundlagen
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 - Grundrecht
Einschränkungen des Verbots ist möglich:- mit der Zustimmung des Betroffenen- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung persönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 § 4 Z 1
"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"
Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,
technische Kennzahlen (z.B. Stromverbrauchsdaten), ...
DSG 2000 - Grundlagen
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)
DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)
DSG 2000 - Grundlagen
© ARGE DATEN 2011
ARGE DATEN
IT-Sicherheit
Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy)
IT-Sicherheit behandelt vorrangig technische FragenWas ist machbar? Was ist möglich?Im Zentrum stehen Abwehrszenarien
Datenschutz behandelt vorrangig (grund)rechtliche Fragen
Was ist erwünscht?Im Zentrum stehen
Gestaltungsszenarien
Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz
Datenschutz
Zugriffsschutz, Protokollierung,
Rechteverwaltung, Ausspähen von
Daten, Datenbeschädigun
g,Passwörter
IT-Sicherheit
Grundrechtliche Fragen ohne direkten IT-Bezug:
Zweckbindung, Melde- und Offenlegungspflichten,
Beobachtungsschutz, infomationelle
Selbstbestimmung
© ARGE DATEN 2011
ARGE DATEN
Haftung bei fehlenden DatensicherheitsmaßnahmenOGH Entscheidung (9 Ob A 182/90)
Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.
Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.
Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".
Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!
Sicherheitsmaßnahmen - Haftung
© ARGE DATEN 2011
ARGE DATEN
Schadenersatz (§ 33)schuldhaftes Verhalten notwendig
bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen
bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung
Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]
bei Veröffentlichungen in einem Medium gilt Mediengesetz
Entschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen
DSG 2000 - Kontroll- & Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 - Schadenersatz
OGH 6 Ob 275/05t ("Verdienstentgang")
Ausgangslage- Anwalt gelangte wegen Verzug der Rückzahlung eines
Bürgschaftskredits auf UKV-Liste der Banken
- Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang 70.000,- EUR)
- Anwalt forderte von Bank Schadenersatz in Höhe von 30.000 EUR
OGH-Entscheidung- Eintrag ohne vorherige Verständigung unzulässig
- OGH beruft sich ausdrücklich auf DSK-Bescheid K095.014/021-DSK/2001
- Schadenersatz besteht daher zu Recht (zugesprochen 25.000 EUR)
- Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen
© ARGE DATEN 2011
ARGE DATEN
Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)
- Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer
Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht
Strafausmaß: bis ein JahrDelikt wird zum OffizialdeliktStrafbestimmung gilt subsidiär
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
Strafbestimmungen bei öffentlich-rechtlichen Organen
Missbrauch der Amtsgewalt (§ 302 StGB)Strafrahmen: bis 5 JahreLaufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten)
Verletzung des Amtsgeheimnisses (§ 310 StGB)
Strafrahmen: bis 3 Jahre
denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)
Strafrahmen: bis 3 Jahre
Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]
- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer
DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines
rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)
Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)
Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 13. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.
Strafrahmen: bis 10.000,- Euro
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]
neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)
Strafrahmen: bis 500,- Euro [neu]
Verfallbestimmungen § 52 Abs. 4Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2011
ARGE DATEN
Warum Datenschutzbeauftragter (DSB) ?- derzeit gesetzlich nicht verpflichtend vorgesehen
- freiwillig kann ein Datenschutzbeauftragter von Orgnisationen immer eingerichtet werden
- Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein
Datenschutzbeauftragter
© ARGE DATEN 2011
ARGE DATEN
Typische Aufgaben des Datenschutzbeauftragten
- Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität
- Einholen von Genehmigungen für den internationalen Datenverkehr
- Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung
- Kontrolle von Zustimmungserklärungen auf deren DSG - Konformität
- Beratung bei Abschluss von Dienststellen-/Betriebsvereinbarungen
- Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden)
Datenschutzbeauftragter
© ARGE DATEN 2011
ARGE DATEN
Typische Aufgaben des Datenschutzbeauftragten II
- Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung
- Entwicklung einer organisationsweiten Privacy-Policy- laufende Schulung in Datenschutzmaßnahmen und
Verbesserung der Datenschutzawareness- Erarbeitung von Vorschlägen zur Verbesserungen
gem. § 14 DSG 2000 (Sicherheitsmaßnahmen)- Überwachung der Einhaltung der
Informationspflichten- effiziente Umsetzung der subjektiven Betroffenen-
Rechte:- Recht auf Auskunft- Recht auf Löschung und Aktualisierung- Recht auf WIderspruch
Datenschutzbeauftragter
© ARGE DATEN 2011
ARGE DATEN
Organisatorische und fachliche Einordnung des Datenschutzbeauftragten
+ rechtliches und informationstechnisches Fachwissen+ direkte Berichtspflicht an Geschäftsführung+ als eigene Stabstelle eingerichtet+ in der Entwicklung von Geschäftsprozessen und
Projekten systematisch eingebunden (nicht nur als "Spaßverderber")
+ eigenes Budget
- Einordnung in einen langen Hierarchieweg- IT-Leiter ist gleichzeitig Datenschutzbeauftragter- Sicherheitsverantwortlicher ist gleichzeitig
Datenschutzbeauftragter- ausschließlich technisches oder rechtliches
Fachwissen
Datenschutzbeauftragter
© ARGE DATEN 2011
ARGE DATEN
Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II
+/- Einbindung des DSB in Revisions- oder Rechtsabteilung
+/- Auslagerung der Datenschutzagenden an externe Berater
+/- betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit
Datenschutzbeauftragter
© ARGE DATEN 2011
ARGE DATEN
Umsetzung Sicherheitsanforderungen
Konsequenzen mangelhafter IT-Sicherheit- Verwaltungsstrafe: nach DSG §52 Abs. 2
Verwaltungsübertretung mit Strafe bis 10.000 Euro
- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung
- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen
- immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen §33 DSG, §1328a ABGB, Medienrecht
- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. §51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB
- Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 - Themen für Neuregelung
Was wurde bisher nicht geregelt?- betrieblicher Datenschutzbeauftragter [war im letzten Novellen-Entwurf enthalten]
- Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage enthalten]
- kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht)
- Schaffung von Zulassungs- und Auditverfahren (zumindest bei sensiblen Datenanwendungen)
- Vereinheitlichung der Zuständigkeiten der Aufsichts- und Strafbehörden
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 - Themen für Neuregelung
Was wurde bisher nicht geregelt? IIFehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen[z.B. neue Rollendefinitionen erforderlich]:
- Web2.0/Soziale Netze- RFID (Radio Frequency IDentification)- biometrische Daten- Cloud Computing- Persönliche Online Services, wie
Patientendatenverwaltung- Scoringmethoden- Ubiquitous Computing ("Web der Dinge")- Personenortung- ...??
... aber es gilt, nach der Novelle ist vor der Novelle ...
© ARGE DATEN 2011
ARGE DATEN
Fahrplan zu einem neuen EU-Datenschutzrecht
- 4.11.2010 Kommissionsmitteilung Konzept Datenschutzrecht
- bis 14.1.2011 europaweites Konsultationsverfahren- Eckpfeiler der geplanten Neuregelung
- Stärkung der Rechte des Einzelnen- mehr Transparenz für die Betroffenen- bessere Kontrolle des Betroffenen über seine Daten- Prinzip der Datensparsamkeit (inkl. "Recht auf
Vergessen")- neue Kategorien sensibler Daten (z.B. "Gendaten")- Klagsbefugnis für Verbände- Harmonisierung der Meldepflichten (EU-weites
Registerformular)- Vereinfachungen im internationalen Datentransfer
- Herbst 2011 ?? Entwurf einer neuen EU-Richtlinie
EU-Neuregelung des Datenschutzes
© ARGE DATEN 2011
ARGE DATEN
Betrieblicher Datenschutzbeauftragter
Ausbildungsreihe der ARGE DATEN
Modul I: Datenschutz Grundlagen15. November 2011
Modul IV: Datenschutz Praxis / international
17. November 2011
Modul II: Datenverwendung im Unternehmen16. November 2011
Modul III: Datenschutz und IT-Sicherheit22. November 2011
Modul V: Datenschutzfragen identifizieren23. November 2011
Die Reihe wird mit einem Zertifikat abgeschlossen
© ARGE DATEN 2011
Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20
Tel.: 0676 / 9107032Fax.: 01 / 53 20 974Mail persönlich: [email protected]
Verein: http://www.argedaten.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
Kontaktdaten
© ARGE DATEN 2011
ARGE DATEN
Ich danke für Ihre Aufmerksamkeit
© ARGE DATEN 2011
ARGE DATEN
http://www.argedaten.at/
http://www.dsk.gv.at/
http://ec.europa.eu/justice/policies/privacy/index_en.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
Onlineinformation
http://www.datenschutzverein.de/
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 -
© ARGE DATEN 2011
ARGE DATEN
DSG 2000 -