© ARGE DATEN 2011

ARGE DATEN

Datenschutz-BeauftragterBürokratischer Balast oder wichtiger

Sicherheitsbeitrag?Hans G. Zeger, ARGE DATEN

Wien, CMG-AE, 4. Oktober 2011

© ARGE DATEN 2011

ARGE DATEN

Die ARGE DATEN als PRIVACY-Organisation

Aktivitäten der ARGE DATEN

Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat

- Newsletter: rund 4.500 Abonnenten

- 2010: rund 500 Medienanfragen/-berichte

Mitgliederbetreuung Datenschutzfragen- 2010: ca. 600 Datenschutz-Anfragen

Rechtsschutz, PRIVACY-Services- 2010: in ca. 200 Fällen Mitglieder in Verfahren vertreten

Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen

Studien- und Beratungsprojekte

A-CERT - Zertifizierungsdienstleister gem. SigG

© ARGE DATEN 2011

ARGE DATEN

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.

© ARGE DATEN 2011

ARGE DATEN

Daten"schutz" heute

International

- März 2011 Sony werden mehrere MillionenBenutzerdaten gestohlen

Österreich

- rund zehn Jahre lang wurden Exekutionsdaten aus dem Justizministerium entwendet

- Beamte werden wegen illegaler EKIS-, ZMR- und KFZ-Abfragen verurteilt

- GIS-, SP- und FP-Website werden "gehackt"

- Polizistendaten werden veröffentlicht

- Sozialversicherungsdaten liegen frei im Netz herum

Die Datenschutzdebatte ist auch in Österreich angekommen, sind die Organisationen darauf

vorbereitet?

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 - Grundlagen

Entwicklung zum DSG 20001978 erstes Datenschutzgesetz - DSG (BGBl.

Nr. 565/1978)(Geltung 1.1.1980-31.12.1999)

1995 EG-Datenschutzrichtlinie 95/46/EG1999 Datenschutzgesetz - DSG 2000 (BGBl. I

Nr. 165/1999)

Änderung des DSG 20002009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)2009 Partnerschaft-Gesetz (BGBl. I Nr.

135/2009)

Änderung(en) auf EU-Ebene20?? EU - Neuordnung des Datenschutzes

© ARGE DATEN 2011

ARGE DATEN

Umsetzung der EU-Richtlinie "Datenschutz" (1995)

soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern

Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."

Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren

EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"

DSG 2000 - Grundlagen

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 - Grundrecht

Einschränkungen des Verbots ist möglich:- mit der Zustimmung des Betroffenen- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 § 4 Z 1

"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,

technische Kennzahlen (z.B. Stromverbrauchsdaten), ...

DSG 2000 - Grundlagen

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)

DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)

DSG 2000 - Grundlagen

© ARGE DATEN 2011

ARGE DATEN

IT-Sicherheit

Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy)

IT-Sicherheit behandelt vorrangig technische FragenWas ist machbar? Was ist möglich?Im Zentrum stehen Abwehrszenarien

Datenschutz behandelt vorrangig (grund)rechtliche Fragen

Was ist erwünscht?Im Zentrum stehen

Gestaltungsszenarien

Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz

Datenschutz

Zugriffsschutz, Protokollierung,

Rechteverwaltung, Ausspähen von

Daten, Datenbeschädigun

g,Passwörter

IT-Sicherheit

Grundrechtliche Fragen ohne direkten IT-Bezug:

Zweckbindung, Melde- und Offenlegungspflichten,

Beobachtungsschutz, infomationelle

Selbstbestimmung

© ARGE DATEN 2011

ARGE DATEN

Haftung bei fehlenden DatensicherheitsmaßnahmenOGH Entscheidung (9 Ob A 182/90)

Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.

Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.

Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".

Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!

Sicherheitsmaßnahmen - Haftung

© ARGE DATEN 2011

ARGE DATEN

Schadenersatz (§ 33)schuldhaftes Verhalten notwendig

bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen

bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung

Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]

bei Veröffentlichungen in einem Medium gilt Mediengesetz

Entschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen

DSG 2000 - Kontroll- & Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 - Schadenersatz

OGH 6 Ob 275/05t ("Verdienstentgang")

Ausgangslage- Anwalt gelangte wegen Verzug der Rückzahlung eines

Bürgschaftskredits auf UKV-Liste der Banken

- Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang 70.000,- EUR)

- Anwalt forderte von Bank Schadenersatz in Höhe von 30.000 EUR

OGH-Entscheidung- Eintrag ohne vorherige Verständigung unzulässig

- OGH beruft sich ausdrücklich auf DSK-Bescheid K095.014/021-DSK/2001

- Schadenersatz besteht daher zu Recht (zugesprochen 25.000 EUR)

- Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen

© ARGE DATEN 2011

ARGE DATEN

Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)

- Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer

Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht

Strafausmaß: bis ein JahrDelikt wird zum OffizialdeliktStrafbestimmung gilt subsidiär

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

Strafbestimmungen bei öffentlich-rechtlichen Organen

Missbrauch der Amtsgewalt (§ 302 StGB)Strafrahmen: bis 5 JahreLaufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten)

Verletzung des Amtsgeheimnisses (§ 310 StGB)

Strafrahmen: bis 3 Jahre

denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)

Strafrahmen: bis 3 Jahre

Hier ist Vorsatz Voraussetzung für die Tatverfolgung

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]

- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer

DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines

rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)

Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)

Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 13. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.

Strafrahmen: bis 10.000,- Euro

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]

neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)

Strafrahmen: bis 500,- Euro [neu]

Verfallbestimmungen § 52 Abs. 4Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2011

ARGE DATEN

Warum Datenschutzbeauftragter (DSB) ?- derzeit gesetzlich nicht verpflichtend vorgesehen

- freiwillig kann ein Datenschutzbeauftragter von Orgnisationen immer eingerichtet werden

- Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein

Datenschutzbeauftragter

© ARGE DATEN 2011

ARGE DATEN

Typische Aufgaben des Datenschutzbeauftragten

- Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität

- Einholen von Genehmigungen für den internationalen Datenverkehr

- Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung

- Kontrolle von Zustimmungserklärungen auf deren DSG - Konformität

- Beratung bei Abschluss von Dienststellen-/Betriebsvereinbarungen

- Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden)

Datenschutzbeauftragter

© ARGE DATEN 2011

ARGE DATEN

Typische Aufgaben des Datenschutzbeauftragten II

- Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung

- Entwicklung einer organisationsweiten Privacy-Policy- laufende Schulung in Datenschutzmaßnahmen und

Verbesserung der Datenschutzawareness- Erarbeitung von Vorschlägen zur Verbesserungen

gem. § 14 DSG 2000 (Sicherheitsmaßnahmen)- Überwachung der Einhaltung der

Informationspflichten- effiziente Umsetzung der subjektiven Betroffenen-

Rechte:- Recht auf Auskunft- Recht auf Löschung und Aktualisierung- Recht auf WIderspruch

Datenschutzbeauftragter

© ARGE DATEN 2011

ARGE DATEN

Organisatorische und fachliche Einordnung des Datenschutzbeauftragten

+ rechtliches und informationstechnisches Fachwissen+ direkte Berichtspflicht an Geschäftsführung+ als eigene Stabstelle eingerichtet+ in der Entwicklung von Geschäftsprozessen und

Projekten systematisch eingebunden (nicht nur als "Spaßverderber")

+ eigenes Budget

- Einordnung in einen langen Hierarchieweg- IT-Leiter ist gleichzeitig Datenschutzbeauftragter- Sicherheitsverantwortlicher ist gleichzeitig

Datenschutzbeauftragter- ausschließlich technisches oder rechtliches

Fachwissen

Datenschutzbeauftragter

© ARGE DATEN 2011

ARGE DATEN

Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II

+/- Einbindung des DSB in Revisions- oder Rechtsabteilung

+/- Auslagerung der Datenschutzagenden an externe Berater

+/- betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit

Datenschutzbeauftragter

© ARGE DATEN 2011

ARGE DATEN

Umsetzung Sicherheitsanforderungen

Konsequenzen mangelhafter IT-Sicherheit- Verwaltungsstrafe: nach DSG §52 Abs. 2

Verwaltungsübertretung mit Strafe bis 10.000 Euro

- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung

- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen

- immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen §33 DSG, §1328a ABGB, Medienrecht

- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. §51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB

- Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 - Themen für Neuregelung

Was wurde bisher nicht geregelt?- betrieblicher Datenschutzbeauftragter [war im letzten Novellen-Entwurf enthalten]

- Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage enthalten]

- kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht)

- Schaffung von Zulassungs- und Auditverfahren (zumindest bei sensiblen Datenanwendungen)

- Vereinheitlichung der Zuständigkeiten der Aufsichts- und Strafbehörden

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 - Themen für Neuregelung

Was wurde bisher nicht geregelt? IIFehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen[z.B. neue Rollendefinitionen erforderlich]:

- Web2.0/Soziale Netze- RFID (Radio Frequency IDentification)- biometrische Daten- Cloud Computing- Persönliche Online Services, wie

Patientendatenverwaltung- Scoringmethoden- Ubiquitous Computing ("Web der Dinge")- Personenortung- ...??

... aber es gilt, nach der Novelle ist vor der Novelle ...

© ARGE DATEN 2011

ARGE DATEN

Fahrplan zu einem neuen EU-Datenschutzrecht

- 4.11.2010 Kommissionsmitteilung Konzept Datenschutzrecht

- bis 14.1.2011 europaweites Konsultationsverfahren- Eckpfeiler der geplanten Neuregelung

- Stärkung der Rechte des Einzelnen- mehr Transparenz für die Betroffenen- bessere Kontrolle des Betroffenen über seine Daten- Prinzip der Datensparsamkeit (inkl. "Recht auf

Vergessen")- neue Kategorien sensibler Daten (z.B. "Gendaten")- Klagsbefugnis für Verbände- Harmonisierung der Meldepflichten (EU-weites

Registerformular)- Vereinfachungen im internationalen Datentransfer

- Herbst 2011 ?? Entwurf einer neuen EU-Richtlinie

EU-Neuregelung des Datenschutzes

© ARGE DATEN 2011

ARGE DATEN

Betrieblicher Datenschutzbeauftragter

Ausbildungsreihe der ARGE DATEN

Modul I: Datenschutz Grundlagen15. November 2011

Modul IV: Datenschutz Praxis / international

17. November 2011

Modul II: Datenverwendung im Unternehmen16. November 2011

Modul III: Datenschutz und IT-Sicherheit22. November 2011

Modul V: Datenschutzfragen identifizieren23. November 2011

Die Reihe wird mit einem Zertifikat abgeschlossen

© ARGE DATEN 2011

Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20

Tel.: 0676 / 9107032Fax.: 01 / 53 20 974Mail persönlich: hans.zeger@argedaten.at

Verein: http://www.argedaten.at

Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at

Kontaktdaten

© ARGE DATEN 2011

ARGE DATEN

Ich danke für Ihre Aufmerksamkeit

© ARGE DATEN 2011

ARGE DATEN

http://www.argedaten.at/

http://www.dsk.gv.at/

http://ec.europa.eu/justice/policies/privacy/index_en.htm

http://www.datenschutzzentrum.de/

http://www.gdd.de/

Onlineinformation

http://www.datenschutzverein.de/

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 -

© ARGE DATEN 2011

ARGE DATEN

DSG 2000 -