© ARGE DATEN 2013
ARGE DATEN
Datenschutz versus KontrolleVerantwortung von Mitarbeitern und
Geschäftsführung Hans G. Zeger, ARGE DATEN
Wien, Schoeller Network Control, 29. Jänner 2013
© ARGE DATEN 2013
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATEN
Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat
- Newsletter: rund 4.500 Abonnenten
- 2012: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2012: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
A-CERT - Zertifizierungsdienstleister gem. SigG
ARGE DATEN
© ARGE DATEN 2013
Umsetzung der EU-Richtlinie "Datenschutz" (1995)
soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern
Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."
EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"
DSG 2000 - Grundlagen
ARGE DATEN
© ARGE DATEN 2013
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung persönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots
(= Nutzungsmöglichkeiten für Daten):- mit der Zustimmung des Betroffenen
- zur Vollziehung von Gesetzen (gesetzlichen Verpflichtungen)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter
- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
ARGE DATEN
DSG 2000 - Grundlagen
© ARGE DATEN 2013
gesetzliche Verpflichtungen
- Datenschutzgesetz DSG 2000- TKG 2003, Kommunikationsgeheimnis, ...- (technische) Spezialgesetze- allgemeine betriebliche Verpflichtungen (Sorgfalt eines
"ordentlichen Kaufmanns")
privatrechtliche, sonstige Verpflichtungen- Konzern-Vorgaben (Corporate Binding Rules,
(IT-)Compliance, ...)- Spezialrecht Dritter (Sarbanes-Oxley Act/SOX,
Whistleblower Protection Act, False Claim Act 1986, Vergaberecht/-bestimmungen, ...)
- Zertifizierungen (ISO 27001, ...)- Service Level Agreements, Kundenvereinbarungen- Kooperationsvereinbarungen
Betriebliche Verpflichtungen
ARGE DATEN
© ARGE DATEN 2013
Sicherheitsbestimmungen (DSG 2000 § 14)
Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:
Stand der Technik entsprechend
wirtschaftlich vertretbar
angemessenes Schutzniveau muss erreicht werden
Es gibt im DSG 2000 keine rechtlich verbindlichen (zwingenden) technischen Sicherheitsvorschriften!
DSG 2000 - Sicherheitsbestimmungen
ARGE DATEN
Passiert etwas, wird die Geschäftsführung nachweisen müssen, die Anforderungen angemessen erfüllt zu
haben
© ARGE DATEN 2013
ARGE DATEN
DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen
- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten
- Dokumentationspflicht zur Kontrolle und Beweissicherung
- ProtokollierungspflichtInsgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy
verstanden werden!z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinieoder ISO 27001 Informationssicherheitsleitlinie
© ARGE DATEN 2013
ARGE DATEN
Protokollierungsanforderungen I (§ 14)
Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)
betrifft jeden Datenverarbeitungsschritt, inkl. Abfragen, Auswertungen, Ausdrucke, ...
diese müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"
DSG 2000 - Sicherheitsbestimmungen
bedeutet in weiterer Konsequenz, dass die Protokolldaten auch auditierbar sein müssen
© ARGE DATEN 2013
ARGE DATEN
Protokollierungsanforderungen II (§ 14)
- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)
- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung des innerbetrieblichen Datneverkehrs oder von Internet-Zugriffen!!)
- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind
- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen
DSG 2000 - Sicherheitsbestimmungen
© ARGE DATEN 2013
ARGE DATEN
DSG 2000 - Verschwiegenheitsverpflichtung
Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.
Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.
Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.
Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6)
Bestimmung kann auch als Verpflichtung zu ausreichender Compliance-Vereinbarung
verstanden werden
© ARGE DATEN 2013
ARGE DATEN
spezifische Sicherheitsbestimmungen
Bestehende Sicherheitsanforderungen in Ö- Verschlüsselung bei Webapplikationen / in der
DatenübertragungGrundlage: ePrivacy-RL 2002/58/EG
- Besondere Sicherheitsmaßnahmen bei GesundheitsdatenGrundlage: GTelG + GTelVO
- Sicherheit in der elektronischen RechnungslegungGrundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003
- Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler SignaturGrundlage: EG-RL 1999/93/EG, SigG, SigV
- Verwendung von Mitarbeiterdaten im KonzernGrundlage: StMV 2004 des Bundeskanzleramtes
© ARGE DATEN 2013
ARGE DATEN
spezifische Sicherheitsbestimmungen
Bestehende Sicherheitsanforderungen in Ö II
- Einsatz der Bürgerkarte in BehördenverfahrenGrundlage: E-GovG
- Videoüberwachung - VerschlüsselungGrundlage: StMV 2004 des Bundeskanzleramtes
- Vorratsdatenspeicherung: Vorkehrungen bei Datenhaltung, Verschlüsselung der Übertragung und Protokollierungspflicht bei Datenverwendung (TKG § 102c + TKG-DSVO )
...
© ARGE DATEN 2013
ARGE DATEN
Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend?
- Protokollierung des internen Datenverkehrs?
- Verschlüsselung des Mail-/Daten-Verkehrs?
- Absicherung des eigenen WLANs?
- Installation einer (zertifizierten) Firewall?
- Verwendung von Virtual Private Network (VPN) - Lösungen?
- Einsatz von Virenfilter, Spamfilter, Webfilter?
- Verwendung von SSL-Verschlüsselung für Online-Formulare?Keine Maßnahme ist ausdrücklich vorgesehen, aber Geschäftsführung haftet für ausreichende
Maßnahmen im Sinne des § 14 DSG 2000
Weiters könnten fachspezifische Regelungen auf andere Bereiche in Analogie vorausgesetzt werden
DSG 2000 - Sicherheitsbestimmungen
© ARGE DATEN 2013
ARGE DATEN
Konsequenzen für Mitarbeiter
Vertragliche und gesetzliche Verpflichtungen des Mitarbeiters
- Einhaltung des Arbeitsvertrages
- Geheimhaltung anvertrauter Daten (sowohl anvertrauter persönlicher Daten, als auch sonstiger Betriebsdaten)
- Sorgsamer Umgang mit anvertrauten IT-Geräten, z.B. keine Schadsoftware installieren
- keine Datenverwendung ohne Auftrag
Verpflichtungen finden (enge) Grenzen
- OGH betont regelmäßig Privatsphäre und Menschenwürde im Betrieb
- Recht alltägliche Verpflichtungen wahrzunehmen (kurze private Telefonate, eMails, ...)
- Überwachung der Rechtmäßigkeit der Datenverwendung darf nicht zur Leistungskontrolle der Mitarbeiter verwendet werden
© ARGE DATEN 2013
ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung
- OGH 9ObA75/04a:eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.
- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.
- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund
(un)zulässiger IT-Einsatz
© ARGE DATEN 2013
ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung II
- OGH 9 ObA 11/11z:Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt
- LAG München 11 Sa 54/09:unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)
(un)zulässiger IT-Einsatz
© ARGE DATEN 2013
ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung III
Ausgangslage:- ein Krankenhaus stellt bestehendes Magnetkartensystem auf
Fingerabdrucksystem um- Betriebsvereinbarung wird keine abgeschlossen- alle Fingerabdrucksdaten werden bei einem Biometriebetreiber
zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen
OGH-Entscheidung 9 ObA 109/06d:- OGH betont erneut Recht auf Privatsphäre im Betrieb- biometrische Zeiterfassungssysteme haben höhere
Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben
- kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung)
- auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor
- auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)
(un)zulässiger IT-Einsatz
© ARGE DATEN 2013
ARGE DATEN
Konsequenzen für Unternehmen
Unternehmen hat Ausgleich zu Verarbeitungsverbot und Kontrollpflicht zu finden
- sowohl Schutzmaßnahmen für Daten, als auch
- Schutzmaßnahmen für Mitarbeiter
Kombination von technischen und organisatorischen Maßnahmen erforderlich
- geeignete Anweisungen zur Datenverwendung- Betriebsvereinbarung bei Aufzeichnung von MA-Daten
alternativ
- Einzelvereinbarung gemäß § 10 AVRAG
- Verschlüsselung von Protokoll-/Audit-Daten
- Vier-Augen-Prinzip bei Verwendung der Protokoll-/Audit-Daten
- geeignetes innerbetriebliches Kontrollsystem schaffenDie Haftung bei Datenmissbrauch bleibt jedoch in allen Fällen beim Unternehmen!
© ARGE DATEN 2013
ARGE DATEN
Haftung bei fehlenden DatensicherheitsmaßnahmenOGH Entscheidung (9 Ob A 182/90)
Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.
Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.
Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".
Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!
Sicherheitsmaßnahmen - Haftung
© ARGE DATEN 2013
ARGE DATEN
Haftung bei bei DatenmissbrauchOGH Entscheidung (9 Ob 126/12s)
Ausgangslage
Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen.
Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden.
Die Aktion führte zur fristlosen Entlassung des Mitarbeiters.
TZ B verlangt Unterlassungsklage
TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist.
Sicherheitsmaßnahmen - Haftung
© ARGE DATEN 2013
ARGE DATEN
Sicherheitsmaßnahmen - Haftung
Haftung bei bei Datenmissbrauch IIOGH Entscheidung (9 Ob 126/12s)
Entscheidung
Vorinstanzen weisen Klage ab, OGH gibt jedoch Klage statt.
Eingriff in IT-System ist Besitzstörung
Eingriff war im Interesse der TZ A
Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen
Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A
Unternehmen hat Besitzstörung zu verantworten
© ARGE DATEN 2013
ARGE DATEN
DSG 2000 - Dienstleister
Dienstleister im Sinne des DSG 2000 (§§ 10f)
- Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut
- Geeignete Vereinbarungen sind zu treffen
- Vereinbarungen sind vom Auftraggeber zu überprüfen/überwachen ["überzeugen"] wie wäre das bei Cloud-Computing umzusetzen?
Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
© ARGE DATEN 2013
ARGE DATEN
DSG 2000 - Dienstleister
Pflichten des Dienstleisters (§ 11)
(A) Vertragliche Verpflichtungen- werden in der Regel die zulässigen Verwendungen der
Daten beschreiben, z.B. Zugriffsrechte, welche Auswertungen zulässig sind, ...
(B) gesetzliche Verpflichtungen- nur auftragsgemäße Datenverwendung- treffen ausreichender Sicherheitsmaßnahmen nach § 14
DSG 2000- Mitarbeiter des Diensteleisters sind zur
Datenverschiegenheit zu verpflichten (siehe § 15)- Subdienstleister nur mit Billigung des Auftraggbers
heranziehen- dem Auftraggeber jene Informationen bereit stellen, die
er zur Kontrolle der Einhaltung der Vereinbarung benötigt
© ARGE DATEN 2013
ARGE DATEN
Umsetzung Sicherheitsanforderungen
Konsequenzen mangelhafter IT-Sicherheit- Verwaltungsstrafe: nach DSG 2000 § 52 Abs. 2
Verwaltungsübertretung mit Strafe bis 10.000 Euro
- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung
- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen
- immaterieller Schadenersatz: bei bloßstellenden Folgen § 33 DSG 2000, § 1328a ABGB, Medienrecht
- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB
- Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit
© ARGE DATEN 2013
ARGE DATEN
Datenschutz und Kontrolle
Resümee- Datenschutz (Schutz der Privatsphäre) und Kontrolle
stehen in einem Spannungsverhältnis
- das DSG 2000, aber auch zahlreiche andere Bestimmungen verpflichten zu Kontrollmaßnahmen
- es ist Aufgabe des Unternehmens einen Ausgleich zu finden
- Haftung für Datenverlust, Datenmissbrauch, ... bleibt in allen Fällen beim Unternehmen
- "nichts" tun, auf MA-Kompetenz vertrauen ist die schlechteste Strategie
- bestimmte technische Maßnahmen sind nicht verpflichtend vorgegeben, werden aber im Schadensfall die Haftung drastisch reduzieren oder auch völlig beseitigen
© ARGE DATEN 2013
ARGE DATEN
Cap Gemini Studie IT-Trends 2012
© ARGE DATEN 2013
Kontakt
Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20
Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]
Verein: http://www.argedaten.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Ich danke für Ihre Aufmerksamkeit
© ARGE DATEN 2013
ARGE DATEN
http://www.argedaten.at/
http://www.dsk.gv.at/
http://ec.europa.eu/justice/policies/privacy/index_en.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
Onlineinformation
http://www.datenschutzverein.de/
© ARGE DATEN 2013
ARGE DATEN
Haftung für Schäden (Schadenersatz)
Haftung erfordert das Zutreffen von vier Kriterien
1. Schaden: Vermögensschaden / ideeller Schadenideeller Schaden z.B. § 33 DSG, §§ 7ff MedienG, § 1328a ABGB: bloßstellende Eingriffe in die Privatsphärez.B.: übergebene Daten gelangen an die Öffentlichkeit, in unbefugte Hände, Mitarbeiter des Dienstleister verwenden die Daten zu eigene Zwecke
2. Verursachung (Kausalität): es passiert etwas, dass der Dienstleister beeinflussen kannKernfrage: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte, gab es Alternativen?z.B.: Dienstleister verwendet ungeeignete Transportmittel, ungeeignete Vernichtungswerkzeuge, deponiert Datenträger an ungeeigneter Stelle
Haftung des Dienstleisters
© ARGE DATEN 2013
ARGE DATEN
Haftung für Schäden (Schadenersatz) II
3. Rechtswidrigkeit: Verletzung von gesetzlichen oder vertraglichen Vereinbarungengesetzlich z.B. kein geeignetes internes Sicherheitskonzept nach § 14, keine Geheimhaltungserklärungen der Mitarbeiter, unvollständige Rückgabe von Daten, ignorieren von irrtümlich eingehenden Auskunftsbegehren, nicht Nachkommen von Informationspflichtenvertraglich z.B. Heranziehung von Subdienstleistern obwohl ausgeschlossen, ungeeigneter Subdienstleister, Verwendung anderer Vernichtungsverfahren als zugesagt
4. Verschulden: Vorsatz / FahrlässigkeitRechtswidrigkeit wird vorsätzlich begangen oder zumindest in Kauf genommen, z.B. bessere Verfahren bekannt und zumutbar aber ignoriert, Datenträgertransport erfolgt trotz ungeeigneter Bedingungen (Wetter, überhöhte Geschwindigkeit, ...)Gewerbliche Anbieter werden rasch bei grober Fahrlässigkeit ankommen
Haftung des Dienstleisters
© ARGE DATEN 2013
ARGE DATEN
Konsequenzen für Mitarbeiter und Unternehmen
Was bedeutet das für einzelne Themen?- elektronische Zustellung von Gehaltszettel
- biometrische Zugangs- und Zeiterfassungssysteme
- private eMail-/Internet-Nutzung der Mitarbeiter
- Videoüberwachung
- Mitarbeiter-Fotos im Intra-/Internet, Verschicken bei eMails
- Social Media Auftritt des Unternehmens
- konzernweite Verwendung von Mitarbeiterdaten
- elektronische Whistleblowing-Systeme
- "Bring Your Own Device"Keine der Datenverwendungen ist generell
unzulässig, es sind aber in allen Fällen spezifische Vorkehrungen zu treffen
© ARGE DATEN 2013
ARGE DATEN
Datenträger Gehaltszettel IIZusendung per eMail
- grundsätzlich zulässig, sehr kostengünstig- bei Firmen-eMails auf Nutzungspolicy achten (Funktionsadressen,
Vertreter- und Urlaubsregelung)- bei Privat-eMails Verfügbarkeit und auch Nutzung der Adresse
beachten (Familien-Mailadresse)- Verschlüsselung empfehlenswert
Hinterlegen auf Website- grundsätzlich zulässig, sehr kostengünstig- erfordert Passwortschutz/Zugangsverwaltung
Zustellung über Girokonto K211.680/0009-DSK/2006- grundsätzlich zulässig, kostengünstig- Dienstleistervereinbarung mit Bank erforderlich, es gilt das
Minimalprinzip - individuelle Situation berücksichtigen
Mitarbeiter- und Bewerberdaten
Bei allen "modernen" Zustellformen wird Zustimmung des Betroffenen erforderlich sein
© ARGE DATEN 2013
ARGE DATEN
Kontrollmaßnahmen im Betrieb
Zulässigkeit einer biometrischen ZeiterfassungAusgangslage:
- ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um
- Betriebsvereinbarung wird keine abgeschlossen- alle Fingerabdrucksdaten werden bei einem Biometriebetreiber
zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen
OGH-Entscheidung 9 ObA 109/06d:- OGH betont erneut Recht auf Privatsphäre im Betrieb- biometrische Zeiterfassungssysteme haben höhere
Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben
- kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung)
- auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor
- auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)
© ARGE DATEN 2013
ARGE DATEN
private IKT-Nutzung
IKT-Nutzungsverordnung – IKT-NV(BGBl. II Nr. 281/2009)
Regelt private IKT-Nutzung für Bedienstete des Bundes
Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne
- Beeinträchtigung des Dienstbetriebs- keine Schädigung des Ansehens des öffentlichen
Dienstes- keine Gefährdung der Sicherheit des IKT-Betriebs- keine missbräuchliche Verwendung
rein private Geschäfte sind erlaubt (§ 4 Abs. 2)
private eMail-Nutzung (§ 5)- kein Hinweis auf dienstliche Stellung oder dienstliche
Postadresse- keine Verwendung dienstlicher eMail-Signaturen- private eMails dürfen nach Schadprogrammen und
Spam gescannt werden
© ARGE DATEN 2013
ARGE DATEN
private IKT-Nutzung
IKT-Nutzungsverordnung – IKT-NV II(BGBl. II Nr. 281/2009)
Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4)
- Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten
- Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen
- Zugriff auf pornographische Inhalte- Zugriff auf Seiten, die Zahlungsverpflichtungen des
Dienstgebers zur Folge haben- herunterladen "schadware-verdächtiger" Dateitypen
keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff!
(§ 4 Abs. 5)
© ARGE DATEN 2013
ARGE DATEN
Videoeinsatzbetriebliche Anwendungsbereiche:
(1)Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten, ...)
(2)Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung, ...)
(3)Überwachung von Lagerstellen
(4)Überwachung von Kundenzonen
(5)Überwachung von Arbeitsplätzen
(6)Überwachung von Sozial- und Hygienebereichen
betriebliche Datenverwendung
Basis-Anforderungen nach DSG:
- grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu)
- Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen
Zulässigkeit? / Betriebsvereinbarun
g?
Ja / Nein, wenn keine Rückschlüsse auf MA
Ja / wie (1)
Ja / in der Regel Ja
Ja / wie (1)
nur im Sonderfall / Ja
Nein / nicht Vereinbarungsfähig
© ARGE DATEN 2013
ARGE DATEN
Videoeinsatz IIOLG Wien Beschluss 7 Ra 3/07y
- Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte
- ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen
Entscheidungskriterien
Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz
- Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein
- Maßnahme muss erforderlich sein [fehlende Alternativen]
- Maßnahme muss angemessen sein [Interessensabwägung, Eingriffsintensität darf nicht höher als bestimmtes Ziel sein]
Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1
betriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
Typische Module (Zwecke):- Lohn/Gehaltsverrechnung- Darlehen/Exekutionsverwaltung- Reisekostenadministration- Zeitadministration- Bewerberverwaltung- Religionsbekenntnis- Aus- und Weiterbildungsverwaltung- Meldepflichten (SV, Finanz)- sonstige arbeitsvertragliche Verpflichtungen
- Beurteilungsdaten
Fallbeispiel Personalverwaltung (SA002)
Standard (20, 59-62)
Standard (36, nur für
Abwesenheitsverwaltung)
? Standard
Standard (47-51) Standard (57-58)
Standard (52)
Standard seit 30.3.11 eigener
Betroffenenkreis
DSG 2000 - Registrierung und Genehmigung
? Standard (64?)
Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine
registrierungspflichtige oder registrierungsfreie Datenanwendung handeln
Datenübermittlung an Konzern"mutter"
kein Standard
kein Standard
Standard (33-43)
© ARGE DATEN 2013
ARGE DATEN
Mitarbeiter- und Bewerberdaten
Personaldaten - innerbetriebliche Verwendung
- dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...)
- weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung)
- sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter
Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen
In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein:
Geschäftsführer, Manager, Außendienstmitarbeiter, ...
© ARGE DATEN 2013
Was ist zulässige Veröffentlichung im Internet?Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung
Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes
- Firmenkontaktdaten: Name, Funktion, Telefonnummer, eMail-Adresse
- Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang http://www.spickmich.de/
Potentiell problematische Veröffentlichungen:
- Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung
- Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten, OGH 8ObA136/00h)
Datenverwendung in Internet/Intranet
ARGE DATEN
© ARGE DATEN 2013
Web 2.0 und Social Media
Hurra! W
ir sin
d auf
Facebook!
... aber w
as mach
en wir
da?
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Web2.0 und Social Media
Was ist Web2.0?
üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte
Welche Bestimmungen sind anwendbar?
- DatenschutzbestimmungenBenutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten- E-Commerce-BestimmungenHaftung, Auskunftspflichten- sonstige BestimmungenMedienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz, ...
Hinweis!Web2.0-Regelung haben Ausgleich zwischen
mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz
der Privatsphäre
© ARGE DATEN 2013
ARGE DATEN
Datenschutzspezifische Fragestellungen
Vorgaben des DSG 2000:(1) Rollenkonzept: Auftraggeber, Betroffener,
Dienstleister(2) Schutzinteressen der persönlichen Daten:
allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten
(3) berechtigter Zweck: persönliche Nutzung, Weitergabe an Dritte, Veröffentlichung
(4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor!
Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.
Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).
In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar.
(4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten).
Für Facebook gelten die Bestimmungen des Geschäftssitzes
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Was kann/muss ein Unternehmen regeln?
+ Wer entscheidet wo das Unternehmen präsent ist? Wer darf einen Unternehmensaccount einrichten?
+ Wer darf Beiträge zum Unternehmensaccount eintragen?+ Wer ist Anlaufstelle für Fragen/Beschwerden? (Foren-
Postings)+ Mitarbeitern die Verwendung von Unternehmenslogos,
Unternehmenskontaktdaten auf privaten Accounts verbieten
+ Mitarbeitern vorgeben, dass Äußerungen zum Unternehmen bloß persönliche/private Meinungen darstellen
+ die Bekanntgabe vertraulicher Betriebsinformationen verbieten (Problem: viele Mitarbeiter erkennen nicht, was vertraulich ist, was nicht)
+ Netiquette-Richtlinien empfehlen, Formulierungen vorschlagen
+ Hinweisen auf potentielle Rechteverletzungen: Wettbewerbsrecht, Urheberrecht, Datenschutzbestimmungen, Strafrecht, Jugendschutz, NS-Wiederbetätigung
Web2.0 und Social Media
© ARGE DATEN 2013
ARGE DATEN
Was kann/muss ein Unternehmen regeln? II
+/-Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten
+/-Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten
+/-bestimmte Formulierungen verpflichtend vorgeben
- Generell Mitarbeitern private Web2.0 Accounts verbieten
- sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion, ...)
- verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern
Web2.0 und Social Media
© ARGE DATEN 2013
ARGE DATEN
Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis
- bisher: keine "Konzernerleichterung"- Konzern-Mitarbeiterverzeichnisse waren
registrierungspflichtig- gemeinsame Verwendung bedeutete Vorliegen eines
genehmigungspflichtigen Informationsverbundes- Übermittlung in Drittstaaten ohne angemessenes
Schutzniveau war DSK-genehmigungspflichtig- neu (seit 18. 9. 2012): Kontaktverzeichnisse sind
"Standard", wenn sie SA033 lit. A. entsprechen Konsequenz:
- keine Registrierungspflicht- keine Genehmigungspflicht des Informationsverbundes- durch verpflichtende Verwendung der
Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau
die Standardanwendung SA033 findet sich im Anhang
konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
A. Konzernweite Kontakt- und Termindatenbank
- Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank
- Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8
- Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten)
- Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten
- Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichtenbei ehemaligen Beschäftigten: reduzierter Datenumfang!
- Übermittlungen: andere Konzernunternehmen weltweit
StMV-Novelle - konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
A. Konzernweite Kontakt- und Termindatenbank II
- Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG
StMV-Novelle - konzernweite Datenverwendung
© ARGE DATEN 2013
Whistleblowing - Grundlagen
Whistleblowing - "verpfeifen" - Hinweisgeber
"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)
Whistleblowing - "verpfeifen" - Hinweisgeber
"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)
bekannt gibt."
"bekannt geben" als Verallgemeinerung
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Grundlagen
Whistleblowing - (Rechts-)Grundlagen- internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“ (SOX), gelten auch für deren Non-US-Töchter!)
- generelle Sorfaltspflichten eines Unternehmens
- spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion
- moralisches Gerechtigkeitsgefühl der Hinweisgeber
- ???
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Erscheinungsformen
Whistleblowing - Datenschutzrelevanz
- Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen
- es besteht Personenbezuga) es werden konkrete Personen bezichtigt und/oderb) Hinweisgeber kann identifiziert werden und/oderc) Daten beziehen sich auf Unternehmen
- es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen
- Hinweise können strafrechtlich relevante Sachverhalte betreffen
- Betroffene haben subjektive Rechte
Anspruch auf Geheimhaltung
Registrierungs-, Genehmigungspflichten
Auskunfts-, Richtigstellungs- und Löschungsrechte
Vorabkontrollpflicht
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Datenschutzverpflichtungen
Whistleblowing - Auskunftsrecht § 26 DSG 2000
Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen.
§ 26 Auskunftsrecht kann beschränkt werden, wenn
a)überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person)
b)Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise)
Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht!
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Datenschutzverpflichtungen
Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000
Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen.
§ 27 kann beschränkt werden, wenn
a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen
b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist
Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht!
ARGE DATEN
© ARGE DATEN 2013
Bring your Own Device
IT-Systeme als Trojanische Pferde?
ARGE DATEN