Скачать презентацию Datenschutzgesetz 2000 Praxisseminar Dr Gregor König LLM Скачать презентацию Datenschutzgesetz 2000 Praxisseminar Dr Gregor König LLM

f1677f6ef8b8cefd5cc4d8895efc4886.ppt

  • Количество слайдов: 93

Datenschutzgesetz 2000 – Praxisseminar Dr. Gregor König, LLM. , Datenschutzkommission Kärntner Verwaltungsakademie 24. März Datenschutzgesetz 2000 – Praxisseminar Dr. Gregor König, LLM. , Datenschutzkommission Kärntner Verwaltungsakademie 24. März 2011 © Gregor König Burggasse Datenschutzgesetz 2000 14/IV, A-9020 Klagenfurt, Tel. : 05 0536 22871 -22879, Fax: 05 0536 22870, e-mail: kvak@ktn. gv. at http: //www. verwaltungsakademie. ktn. gv. at

Inhalt – Allgemein l l l EU DSG 2000 Fälle © Gregor König Datenschutzgesetz Inhalt – Allgemein l l l EU DSG 2000 Fälle © Gregor König Datenschutzgesetz 2000 2

Inhalt – DSG 2000 l l l Grundrecht auf Datenschutz Prinzipien der Zulässigkeit der Inhalt – DSG 2000 l l l Grundrecht auf Datenschutz Prinzipien der Zulässigkeit der Datenverwendung Internationaler Datenverkehr l l l l Prinzip Safe Harbour BCR Datensicherheit und Datengeheimnis Publizität von Datenanwendungen Betroffenenrechte Behörden, Verfahren, Strafen Besondere Verwendungen © Gregor König Datenschutzgesetz 2000 3

EU © Gregor König Datenschutzgesetz 2000 4 EU © Gregor König Datenschutzgesetz 2000 4

EU-rechtliche Vorgaben des Datenschutzes in Österreich l „Datenschutz-Richtlinie“ 95/46/EG … des europäischen Parlaments und EU-rechtliche Vorgaben des Datenschutzes in Österreich l „Datenschutz-Richtlinie“ 95/46/EG … des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr l „Datenschutz-Richtlinie für elektronische Kommunikation“ 2002/58/EG … des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation l „Datenschutz-Verordnung für EU-Organe“ 45/2001 … des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr © Gregor König Datenschutzgesetz 2000 5

Datenschutz-Richtlinie l Ziel: l l l Schaffung eines gemeinsamen, gemeinschaftlichen Datenschutzstandard Datenschutz innerhalb der Datenschutz-Richtlinie l Ziel: l l l Schaffung eines gemeinsamen, gemeinschaftlichen Datenschutzstandard Datenschutz innerhalb der EU zu gewährleisten gleichzeitig möglichst freien Datenfluss sicherzustellen. Anwendungsbereich: alle personenbezogenen Daten natürlicher Personen, unabhängig von der Art der Verarbeitung – also sowohl die vollständig, teilweise oder auch gar nicht automatisierte Verarbeitung persönlicher Daten. RL ist Mindestmaßstab © Gregor König Datenschutzgesetz 2000 6

DSG 2000 © Gregor König Datenschutzgesetz 2000 7 DSG 2000 © Gregor König Datenschutzgesetz 2000 7

Grundrecht © Gregor König Datenschutzgesetz 2000 8 Grundrecht © Gregor König Datenschutzgesetz 2000 8

Grundrecht auf Datenschutz 1/3 § 1 Jedermann hat, insbesondere auch im Hinblick auf die Grundrecht auf Datenschutz 1/3 § 1 Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personen-bezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. © Gregor König Datenschutzgesetz 2000 9

Grundrecht auf Datenschutz 2/3 l l l § 1 Jedermannsrecht Höchstpersönliches Recht Interpretation des Grundrecht auf Datenschutz 2/3 l l l § 1 Jedermannsrecht Höchstpersönliches Recht Interpretation des „Privat- und Familienlebens“ i. Sd EMRK Restriktive Interpretation (Richtlinie 95/46/EG) der Formulierung „soweit ein schutzwürdiges Interesse daran besteht“ kein schutzwürdiges Geheimhaltunginteresse, wenn die Daten allgemein verfügbar sind oder nicht auf eine bestimmte Person rückführbar sind Unmittelbare Drittwirkung © Gregor König Datenschutzgesetz 2000 10

Grundrecht auf Datenschutz 3/3 l Eingriffe (Abs. 2) l l im lebenswichtigen Interesse des Grundrecht auf Datenschutz 3/3 l Eingriffe (Abs. 2) l l im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung im überwiegenden Interesse eines anderen durch Behörden nur auf Grund von Gesetzen aus den in Art. 8 Abs. 2 EMRK genannten Gründen l Sonderregeln für sensible Daten § l § 1 Derartige Gesetze dürfen die Verwendung von sensiblen Daten nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltung der Betroffenen festlegen Grundsatz des gelindesten Mittels © Gregor König Datenschutzgesetz 2000 11

Exkurs: Begriffe l (personenbezogen) Daten (Z 1) § 4 Angaben über Betroffene, deren Identität Exkurs: Begriffe l (personenbezogen) Daten (Z 1) § 4 Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist l indirekt personenbezogen Daten (Z 1) … für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann l Sensible Daten (Z 2) = Daten natürlicher Personen über l l l l rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse oder philosophische Überzeugung Gesundheit oder Sexualleben Pseudonymisierte Daten Anonymisierte Daten © Gregor König Datenschutzgesetz 2000 12

Anwendungsbereich DSG 2000 l § 3 Sachlich l Schutz pers. bez. Daten von Jedermann Anwendungsbereich DSG 2000 l § 3 Sachlich l Schutz pers. bez. Daten von Jedermann (auch jur. Personen) l Schutzsubjekt Betroffener (§ 4 Z 3) … jede natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet werden l Räumlich (§ 3) l Verwendung im Inland; im Ausland: soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers geschieht l Keine Anwendung: l l © Gregor König Auftraggeber des privaten Bereichs mit Sitz in einem anderen MS der EU Daten in Ö zu einem Zweck verwendet, der keiner in Ö gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist Recht des Sitzstaates Bloße Durchführung von Daten durch Ö Datenschutzgesetz 2000 13

Exkurs: Begriffe § 4 • Weitergabe von Daten einer Verwenden Erheben von Daten in Exkurs: Begriffe § 4 • Weitergabe von Daten einer Verwenden Erheben von Daten in der Datenanwendung an Absicht, sie in einer Datenandere Empfänger Verarbeiten Übermitteln anwendung zu verwenden als den Betroffenen, den Auftraggeber Ermitteln Überlassen Rest oder einen Dienstleister, Erfassen, Speichern, Aufbewahren, Weitergabe von Daten • Veröffentlichen Ordnen, Vergleichen, Verändern, vom Auftraggeber an solcher Daten; Verknüpfen, Vervielfältigen, einen Dienstleister • Verwendung von Abfragen, Ausgeben, Benützen, Daten für ein anderes Überlassen (Z 11), Sperren, Aufgabengebiet Löschen, Vernichten oder jede desselben andere Art der Handhabung von Auftraggebers Daten einer Datenanwendung © Gregor König Datenschutzgesetz 2000 14

Prinzipien der Zulässigkeit der Verwendung von Daten © Gregor König Datenschutzgesetz 2000 15 Prinzipien der Zulässigkeit der Verwendung von Daten © Gregor König Datenschutzgesetz 2000 15

Prinzipien – Grundsätze 1/3 l Datenschutz-Grundsätze (§ 6), z. B l l l § Prinzipien – Grundsätze 1/3 l Datenschutz-Grundsätze (§ 6), z. B l l l § 6 ff Verwendung nach Treu und Glauben Zweckbindung: festgelegt, eindeutig und rechtmäßig; bei Ermittlung und Weiterverwendung soweit wesentlich sachlich richtig nur solange, wie für Zweckerreichung notwendig Zulässigkeitsvoraussetzungen für Verarbeitung und Übermittlung (§ 7) l l l gesetzliche Zuständigkeit/rechtliche Befugnis schutzwürdige Geheimhaltungsinteressen nicht verletzt (§ 8 f) erforderliches Maß/gelindestes Mittel © Gregor König Datenschutzgesetz 2000 16

Prinzipien – Schutzwürdige Geheimhaltungsinteressen 2/3 l § 8 Nicht-sensible Daten l l ausdrückliche gesetzliche Prinzipien – Schutzwürdige Geheimhaltungsinteressen 2/3 l § 8 Nicht-sensible Daten l l ausdrückliche gesetzliche Ermächtigung/Verpflichtung (Abs. 1) Zustimmung des Betroffenen (Abs. 1) lebenswichtige Interessen des Betroffenen (Abs. 1) überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten (Abs. 1), z. B - demonstrativ (Abs. 4) l Auftraggeber des öffentlichen Bereiches § § l Auftraggeber des privaten Bereiches § § § l l Voraussetzung für Wahrnehmung gesetzlicher Aufgabe Amtshilfe Wahrung lebenswichtiger Interessen Erfüllung einer vertraglichen Verpflichtung Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen – Daten rechtmäßig ermittelt Ausschließlich öffentliche Funktion durch Betroffenen Katastrophenfall zulässigerweise veröffentliche Daten (Abs. 2) indirekt personenbezogene Daten (Abs. 2) © Gregor König Datenschutzgesetz 2000 17

Exkurs 1: Begriffe 1/2 l § 4 Auftraggeber (Z 4) … natürliche oder juristische Exkurs 1: Begriffe 1/2 l § 4 Auftraggeber (Z 4) … natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. l Dienstleister (Z 5) … wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8) l Zulässigkeit (§ 10) l l l © Gregor König Ausreichende Gewähr für rechtmäßige und sichere Datenverwendung Vereinbarung – Dienstleistervertrag Anzeigepflicht im öffentlichen Bereich (Abs. 2) Datenschutzgesetz 2000 18

Exkurs 1: Begriffe 2/2 l Datenanwendung (Z 7) l Summe von Verwendungsschritten l logisch Exkurs 1: Begriffe 2/2 l Datenanwendung (Z 7) l Summe von Verwendungsschritten l logisch verbunden geordnet - zur Erreichung eines inhaltlich bestimmten Ergebnisses (Zweck) automationsunterstützt l l l § 4 teilweise oder zur Gänze maschinell und programmgesteuert Beispiele: Datenbank, Tabellenkalkulation, Video, Word-Datei. © Gregor König Datenschutzgesetz 2000 19

Exkurs 2: Bereiche l Öffentlicher Bereich l l Wenn Datenanwendung für Zwecke eines Auftraggebers Exkurs 2: Bereiche l Öffentlicher Bereich l l Wenn Datenanwendung für Zwecke eines Auftraggebers des öffentlichen Bereiches durchgeführt wird Auftraggeber des öffentlichen Bereiches l l § 5 In Formen öffentlichen Rechts eingerichtet Gebietskörperschaften In Vollziehung der Gesetze tätig (auch wenn in Form des Privatrechts eingerichtet) Privater Bereich © Gregor König Datenschutzgesetz 2000 20

Exkurs 3: Zustimmung l Voraussetzungen l l l § 4 gültige Willenserklärung des Betroffenen Exkurs 3: Zustimmung l Voraussetzungen l l l § 4 gültige Willenserklärung des Betroffenen (Z 14) ohne Zwang abgegeben in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten eingewilligt jederzeitige Widerrufbarkeit (§ 8/1 Z 2; § 9 Z 6) l bewirkt Unzulässigkeit der weiteren Verwendung © Gregor König Datenschutzgesetz 2000 21

Prinzipien – Schutzwürdige Geheimhaltungsinteressen 3/3 l § 9 sensible Daten (§ 4 Z 2: Prinzipien – Schutzwürdige Geheimhaltungsinteressen 3/3 l § 9 sensible Daten (§ 4 Z 2: z. B Gesundheit, Sexualität, Religion, ethnische Herkunft, politische Meinung) l abschließende Aufzählung (Z 1 -13) l praktisch bedeutsam l l l l © Gregor König Betroffener hat Daten selbst öffentlich gemacht (Z 1) Nur indirekt pers. bez. Daten (Z 2) Ermächtigung/Verpflichtung aus gesetzlichen Vorschriften (Z 3) Ausdrückliche Zustimmung des Betroffenen (Z 6) Lebenswichtige Interessen des Betroffenen bzw. eines Dritten (Z 7 u 8) Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen – Daten rechtmäßig ermittelt (Z 9) aus Arbeits- bzw. Dienstrecht ergebende Pflichten (Z 11) Gesundheitsbereich (Z 12) Datenschutzgesetz 2000 22

Pflichten l Auftraggeber l l l Datenverwendung nur bei Zulässigkeit Einhaltung der Datensicherheitsmaßnahmen Datengeheimnis Pflichten l Auftraggeber l l l Datenverwendung nur bei Zulässigkeit Einhaltung der Datensicherheitsmaßnahmen Datengeheimnis wahren Melde- und Informationspflichten Betroffenenrechte wahren Dienstleister (§ 11 DSG 2000) l l l l Daten nur im Rahmen des Auftrags zu verwenden Datensicherheitsmaßnahmen treffen (§ 14 DSG 2000) Datengeheimnis wahren weitere Dienstleister nur mit Billigung des Auftraggebers DL auch für Betroffenenrechte möglich nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen zu vernichten Informationen an Auftraggeber zur Kontrolle der Einhaltung © Gregor König Datenschutzgesetz 2000 23

Datenexport ins Ausland © Gregor König Datenschutzgesetz 2000 24 Datenexport ins Ausland © Gregor König Datenschutzgesetz 2000 24

Zulässigkeit des Exports von Daten ins Ausland 1/6 § 12/13 CH USA Safe Harbour Zulässigkeit des Exports von Daten ins Ausland 1/6 § 12/13 CH USA Safe Harbour § 12/1: keine Beschränkungen neu: statt MS der EU jetzt VS des EWR (+ ISL, LIE, NOR) § 12/3: Fälle von Genehmigungsfreiheit, betreffen best. Situationen unabhängig vom Ziel (außerhalb der EU) z. B veröffentlichte oder indirekt pers-bez Daten, private Zwecke, Zustimmung etc. © Gregor König § 12/2: angemessenes DS-Niveau § 13: Genehmigung der DSK Datenschutzgesetz 2000 25

Export – Genehmigung – Voraussetzungen (§ 13/2) 2/6 l l § 12/13 Datenanwendung im Export – Genehmigung – Voraussetzungen (§ 13/2) 2/6 l l § 12/13 Datenanwendung im Inland rechtmäßig (§ 12/5) Fehlen eines angemessenen Datenschutzniveaus im Drittstaat, aber l Angemessenes Datenschutzniveau im konkreten Transferfall (Z 1) l l Berücksichtigung aller Umstände z. B durch Standardvertragsklauseln festgelegt Exkurs: USA: „Safe Harbour“ z. B unabh. Beschwerdeinstanz, Schadenersatz-verpflichtung, Kontrolle Schutzwürdige Geheimhaltungsinteressen der Betroffenen im Drittstaat ausreichend gewahrt (Z 2) l © Gregor König auch vertragliche Zusicherung des Empfängers an den Antragsteller über Umstände der Datenverwendung – z. B durch Code of Conduct 26 Datenschutzgesetz 2000

Export – Genehmigung – Antrag nach § 13/2 Z 2 3/6 l l § Export – Genehmigung – Antrag nach § 13/2 Z 2 3/6 l l § 12/13 Gegenstand: l Export von Daten aus Österreich in ein Unternehmen desselben Konzerns in Länder ohne adäquates Datenschutzniveau. Antragsteller: Auftraggeber in Österreich Inhalt: l Identität des Datenexporteurs l Identität und Erreichbarkeit der Datenimporteure l Natur (Inhalt und Zweck) der beabsichtigten Datentransfers Beilagen: l konzernintern geltende Datenschutzregeln l Auslobungserklärung des Antragstellers (Exporteurs) l Auslobungserklärungen der Importeure (bzw. Haftungserklärung (Solidarhaftung) des Antragstellers) © Gregor König Datenschutzgesetz 2000 27

Export – Genehmigung – Auslobungserklärung 4/6 l l l § 12/13 Beilage zum Genehmigungsantrag Export – Genehmigung – Auslobungserklärung 4/6 l l l § 12/13 Beilage zum Genehmigungsantrag Exporteur und Importeure (Mindest-)Inhalt: l l l „Einhaltung der konzernintern geltenden Datenschutzregeln“ „Aktuelle Datenschutzregeln dem DVR zur Verfügung stellen“ „Anfragen/Auskunftsbegehren von Betroffenen richtig, vollständig und rechtzeitig beantworten“ „Im Falle der Zurückziehung bis zur Datenlöschung weiter einhalten“ „Gerichtsstand … anerkennen“ © Gregor König Datenschutzgesetz 2000 28

Export – Genehmigung – Inhalt 5/6 l l § 12/13 Geltungsbereich Bedingungen l Auflösende Export – Genehmigung – Inhalt 5/6 l l § 12/13 Geltungsbereich Bedingungen l Auflösende Bedingungen l l Zusagen nicht regelmäßig eingehalten Datenschutzregeln nicht geeignet Zurücknahme hinsichtlich einzelner DS-Importeure (Mindest-)Auflagen l Auslobungserklärungen im DVR veröffentlicht l Datenschutzregeln im DVR veröffentlicht l Ansprechpartner der DSK in allen Fragen Genehmigungsinhaber l l © Gregor König Datenschutzgesetz 2000 29

Export – Safe Harbour 6/6 l l Grundsätze des US-Handelsministeriums In USA ansässige Unternehmen Export – Safe Harbour 6/6 l l Grundsätze des US-Handelsministeriums In USA ansässige Unternehmen können l l l § 12/13 durch Eintragung in eine Liste beitreten unter Beachtung von FAQ von EU anerkannt als angemessenes DS-Niveau Mehr als 1200 Unternehmen Link: l http: //www. export. gov/safeharbor/ © Gregor König Datenschutzgesetz 2000 30

Export – Binding Corporate Rules 1/2 § 12/13 l l Schaffung eines unternehmensinternen hohen Export – Binding Corporate Rules 1/2 § 12/13 l l Schaffung eines unternehmensinternen hohen Datenschutzniveaus durch „Verbindliche Unternehmensvorschriften“ Müssen von der DSK genehmigt werden neu: § 13 Abs. 2 Z 2 DSG 2000 Artikel 29 Gruppe: Richtlinien für die Annahme von BCRs Link: l http: //www. dsk. gv. at/site/6208/default. aspx © Gregor König Datenschutzgesetz 2000 31

Export – Binding Corporate Rules 2/2 § 12/13 l Inhalte l 1. Teil: Angaben Export – Binding Corporate Rules 2/2 § 12/13 l Inhalte l 1. Teil: Angaben zum Antragsteller l l 2. Teil: Hintergrund l l l l Angaben zum Konzern Datenflüsse Angabe der „Lead Data Protection Authority“ Binding Nature of BCR Effectiveness Kooperation der DPAs in den BCRs Genaue Beschreibung der Datenverwendung und Datenflüsse Verfahren der Meldung und Dokumentation von Änderungen der BCRs Datensicherheitsmaßnahmen Anlage: Kopie der BCRs für all das: Formular © Gregor König Datenschutzgesetz 2000 32

Datensicherheit und Datengeheimnis © Gregor König Datenschutzgesetz 2000 33 Datensicherheit und Datengeheimnis © Gregor König Datenschutzgesetz 2000 33

Erfordernisse der Datensicherheit 1/3 l Auftraggeber hat Maßnahmen zur Datensicherheit zu treffen l l Erfordernisse der Datensicherheit 1/3 l Auftraggeber hat Maßnahmen zur Datensicherheit zu treffen l l § 14 Schutz vor Zerstörung und Verlust Verwendung ordnungsgemäß kein Zugang für Unbefugte Allgemein welche (Abs. 1)? l l nach Art der verwendeten Daten nach Umfang und Zweck der Verwendung Stand der technischen Möglichkeiten wirtschaftliche Vertretbarkeit © Gregor König Datenschutzgesetz 2000 34

Erfordernisse der Datensicherheit 2/3 l § 14 Insbesondere (Abs. 2; bsp. hafte Aufzählung), soweit Erfordernisse der Datensicherheit 2/3 l § 14 Insbesondere (Abs. 2; bsp. hafte Aufzählung), soweit erforderlich l Aufgabenverteilung ausdrücklich festlegen l Verwendung von Daten an das Vorliegen gültiger Aufträge binden l jeder Mitarbeiter über Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften belehren l Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers regeln l Zugriffsberechtigung auf Daten, Schutz der Datenträger regeln l Berechtigung zum Betrieb der Geräte bzw. Programme festlegen und gegen die unbefugte Inbetriebnahme absichern l Protokoll über Verwendungsvorgänge führen (insb. Änderungen, Abfragen und Übermittlungen) l Dokumentation über alle vorgenannten Maßnahmen (Beweissicherung) © Gregor König Datenschutzgesetz 2000 35

Erfordernisse der Datensicherheit 3/3 l § 14 Worauf ist daher zu achten? l l Erfordernisse der Datensicherheit 3/3 l § 14 Worauf ist daher zu achten? l l Angemessenheit zu Risken und Art der Daten (Abs. 2) Verwendung von Protokollsdaten nur für den Ermittlungszweck (Abs. 4) l l l z. B nicht: Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind Aufbewahrung für 3 Jahre; Abweichung möglich (Abs. 4) Datensicherheitsvorschriften offen verwahren (Zugang für Mitarbeiter gesichert) © Gregor König Datenschutzgesetz 2000 36

Datengeheimnis l l Daten, aus berufsmäßiger Beschäftigung anvertraut, sind geheim zu halten Wer? l Datengeheimnis l l Daten, aus berufsmäßiger Beschäftigung anvertraut, sind geheim zu halten Wer? l l Auftraggeber Dienstleister jeder Mitarbeiter neben sonstigen gesetzlichen Verschwiegenheitspflichten l l l § 15 Amtsgeheimnis Betriebs- und Geschäftsgeheimnis etc. verwaltungsstrafrechtlich abgesichert © Gregor König Datenschutzgesetz 2000 37

Publizität von Datenanwendungen © Gregor König Datenschutzgesetz 2000 38 Publizität von Datenanwendungen © Gregor König Datenschutzgesetz 2000 38

Meldung an das § 16 Datenverarbeitungsregister 1/3 l DS-Richtlinie sah zwei Möglichkeiten für Kontrolle Meldung an das § 16 Datenverarbeitungsregister 1/3 l DS-Richtlinie sah zwei Möglichkeiten für Kontrolle der Datenverarbeitung vor l l l Verpflichtende Installierung von betrieblichen Datenschutzbeauftragten (GER, SWE) Meldung von Datenanwendungen („data application“) – Publizität in öffentlichem Register Österreich Datenverarbeitungsregister als Teil der DSK l l Zweck: Prüfung der Rechtmäßigkeit (Abs. 1) Zweck: Information der Betroffenen © Gregor König Datenschutzgesetz 2000 39

Meldung an das § 16 Datenverarbeitungsregister 2/3 l Einsichtnahme (Abs. 2) l l Jedermann: Meldung an das § 16 Datenverarbeitungsregister 2/3 l Einsichtnahme (Abs. 2) l l Jedermann: in das Register Betroffener (Glaubhaftmachung): Registrierungsakt + Genehmigungsbescheide, wenn nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegen stehen © Gregor König Datenschutzgesetz 2000 40

Meldung an das § 16 Datenverarbeitungsregister 3/3 l Nähere Regelung über Führung des Registers Meldung an das § 16 Datenverarbeitungsregister 3/3 l Nähere Regelung über Führung des Registers per VO (Abs. 3) l Datenverarbeitungsregister-Verordnung 2002 (BGBl. II Nr. 2002/24) l l l © Gregor König Inhalt des Registers Anlass und Zeitpunkt der Meldung Form und Inhalt der Meldung Unterlagen zur Meldung Registrierung, Registernummer, Registerauszug Richtigstellung des und Einsicht in das Register Datenschutzgesetz 2000 41

Meldepflicht und § 17 Meldeverfahren – Ausnahmen 1/3 l l Grundsatz: alle Datenanwendungen müssen Meldepflicht und § 17 Meldeverfahren – Ausnahmen 1/3 l l Grundsatz: alle Datenanwendungen müssen vor deren Aufnahme gemeldet werden (Abs. 1) Ausnahmen (Abs. 2 + 3) l l l Inhalt ausschließlich veröffentliche Daten gesetzlich öffentlich einsehbare Register Inhalt nur indirekt personenbezogene Daten ausschließlich für persönliche/familiäre Tätigkeiten (nur natürliche Personen) - § 45 für publizistische Tätigkeiten Standardanwendungen © Gregor König Datenschutzgesetz 2000 42

Exkurs: Standard- und Muster. Verordnung St. MV l Standard- und Muster-Verordnung 2004 – St. Exkurs: Standard- und Muster. Verordnung St. MV l Standard- und Muster-Verordnung 2004 – St. MV 2004, BGBl. II Nr. 2004/312 l Standardanwendungen: nicht meldepflichtig (§ 17 Abs. 2 Z 6), z. B. l l l l Rechnungswesen Personalverwaltung Mitgliederverwaltung Melderegister, Vereinsregister Wählerverzeichnisse KFZ-Zulassungen durch Behörden bestimmte Videoüberwachungsanlagen Musteranwendungen: vereinfachte Meldung (§ 19 Abs. 2), z. B. l l l © Gregor König Personentransport- und Hotelreservierungen Zutrittskontrollsysteme KFZ-Zulassungen durch beliehende Unternehmen Datenschutzgesetz 2000 43

Meldepflicht und Meldeverfahren – Aufnahme der Verarbeitung 2/3 l l § 18 Vollbetrieb unmittelbar Meldepflicht und Meldeverfahren – Aufnahme der Verarbeitung 2/3 l l § 18 Vollbetrieb unmittelbar nach Abgabe der Meldung (Abs. 1) Ausnahme: Vorabkontrollverfahren – Vollbetrieb erst nach Prüfung durch DSK (Abs. 2) l l sensible Daten strafrechtlich relevante Daten (§ 8 Abs. 4) Zweck: Auskunftserteilung über Kreditwürdigkeit des Betroffenen Informationsverbundsysteme © Gregor König Datenschutzgesetz 2000 44

Exkurs: Informationsverbundsystem l l § 50 Definition: § 4 Z 13 Teilnehmer (Abs. 1) Exkurs: Informationsverbundsystem l l § 50 Definition: § 4 Z 13 Teilnehmer (Abs. 1) l l Auftraggeber 1 Auftraggeber Betreiber l Auskunft des Auftraggebers l Datensicherheit (§ 14) l Haftung (§ 33) l weitere Pflichten durch Rechtsakt (Abs. 2) l Ausnahme: gesetzlich vorgesehen © Gregor König Auftraggeber 5 Datenschutzgesetz 2000 Auftraggeber 2 Info-Verbund-System Betreiber Auftraggeber 4 Auftraggeber 3 45

Meldepflicht und Meldeverfahren – prinzipiell 3/3 § 19 l l l nähere Angaben zum Meldepflicht und Meldeverfahren – prinzipiell 3/3 § 19 l l l nähere Angaben zum Auftraggeber und zur Datenanwendung Einbringung beim DVR Formulare – bilden Inhalt gemäß § 19 ab l Anlage 1 – Angaben zum Auftraggeber l nur auszufüllen, wenn § § l l nicht schon früher eine Datenanwendung gemeldet wurde Änderungen in den Daten des Auftraggebers Anlage 2 – Meldung einer Datenanwendung Anlage 3 – Meldung einer Musteranwendung Anlage 4 – Datensicherheitsmaßnahmen Meldeverfahren: Änderungen mit neuer DVRV © Gregor König Datenschutzgesetz 2000 46

Betroffenenrechte © Gregor König Datenschutzgesetz 2000 47 Betroffenenrechte © Gregor König Datenschutzgesetz 2000 47

Betroffenenrechte l Recht auf Information (§ 24 DSG 2000) l l l Sonderfall: Data Betroffenenrechte l Recht auf Information (§ 24 DSG 2000) l l l Sonderfall: Data Breach Notification Duty Recht auf Auskunft (§ 26 DSG 2000) Recht auf Richtigstellung/Löschung (§ 27 DSG 2000) Recht auf Widerspruch (§ 28 DSG 2000) Recht auf Geheimhaltung (§ 1 DSG 2000) © Gregor König Datenschutzgesetz 2000 48

§ 24 Information des Betroffenen 1/2 l „…aus Anlass der Ermittlung … in geeigneter § 24 Information des Betroffenen 1/2 l „…aus Anlass der Ermittlung … in geeigneter Weise…“ über l jedenfalls (Abs. 1) l l l mehr, wenn erforderlich nach Treu und Glauben (Abs. 2), insbesondere l l Zweck Name und Adresse des Auftraggebers wenn Widerspruchsrecht (§ 28) besteht wenn für Betroffenen nicht klar erkennbar, ob er zur Beantwortung der Fragen rechtlich verpflichtet ist wenn Verarbeitung in Informationsverbundsystem erfolgt, das nicht auf Gesetz beruht Ausnahmen: bestimmte Übermittlungsfälle (Abs. 3) sowie nicht meldepflichtige Datenanwendungen (Abs. 4) © Gregor König Datenschutzgesetz 2000 49

Information des Betroffenen 2/2 § 25 l Pflicht zur Offenlegung der Identiät des Auftraggebers Information des Betroffenen 2/2 § 25 l Pflicht zur Offenlegung der Identiät des Auftraggebers (Abs. 1) l l “in geeigneter Weise” Registernummer zur Rechtsverfolgung Sonderfall Abs. 2 © Gregor König Datenschutzgesetz 2000 50

Data Breach Notification l 1/4 Erweiterte Informationspflicht (§ 24 Abs. 2 DSG 2000) l Data Breach Notification l 1/4 Erweiterte Informationspflicht (§ 24 Abs. 2 DSG 2000) l Vorbild: l l l data breach notification duty (US) security breach notification duty (US) Wann? l l © Gregor König Pflicht zur Information bei „systematischer und schwerwiegender unrechtmäßiger“ Datenverwendung wenn dem Betroffenen ein Schaden droht Datenschutzgesetz 2000 51

Data Breach Notification l Systematische Verwendung? l l l § 24 über einen bestimmten Data Breach Notification l Systematische Verwendung? l l l § 24 über einen bestimmten Zeitraum andauernd strukturiertes bzw. geplantes Handeln Schwerwiegende Verwendung? l l l 2/4 abhängig von Anzahl der Datensätze abhängig von „Eingriffsintensität“ der Daten, z. B sensible Daten, strafrechtsrelevante Daten, Bonitätsdaten Drohender Schaden für den Betroffenen l l auch immaterielle Schäden? keine Voraussetzung, dass Betroffene bei Kenntnis des Datenmissbrauchs den Schaden abwenden können © Gregor König Datenschutzgesetz 2000 52

Data Breach Notification l Erweiterte Informationspflicht: Wie? l „unverzüglich“ l „in geeigneter Form“ l Data Breach Notification l Erweiterte Informationspflicht: Wie? l „unverzüglich“ l „in geeigneter Form“ l daher: l l § 24 primär: persönliche Verständigung ab einer gewissen Betroffenenzahl: Einschaltung der Medien Auftraggeber hat sicher zu stellen, dass die Betroffenen die Information tatsächlich erhalten Inhalt l l l 3/4 keine genauen Vorgaben durch DSG 2000 jedenfalls: was ist passiert allenfalls: was können die Folgen sein nicht: empfohlene Vorgangsweise keine Information an die DSK (im Gegensatz zum BDSG) © Gregor König Datenschutzgesetz 2000 53

Data Breach Notification l Erweiterte Informationspflicht l § 24 Ausnahmen l l l 4/4 Data Breach Notification l Erweiterte Informationspflicht l § 24 Ausnahmen l l l 4/4 drohender Schaden im Vergleich zum Informationsaufwand gering oder Information unverhältnismäßig teuer Empfehlung l l l Dokumentation Risikoplan Verantwortlicher © Gregor König Datenschutzgesetz 2000 54

§ 26 Recht auf Auskunft – prinzipiell l l Pflicht des Auftraggebers gegenüber jedem § 26 Recht auf Auskunft – prinzipiell l l Pflicht des Auftraggebers gegenüber jedem Betroffenen Wie? l l Auskunftsverlangen schriftlich mit Zustimmung des Auftraggebers auch mündlich „geeigneter“ Identitätsnachweis notwendig Auskunft schriftlich bzw. mit Zustimmung des Betroffenen auch mündlich (+ Einsichtnahme und Abschrift) © Gregor König Datenschutzgesetz 2000 55

Recht auf Auskunft – Identität l Identitätsnachweis l l § 26 Betroffene seine Identität Recht auf Auskunft – Identität l Identitätsnachweis l l § 26 Betroffene seine Identität „in geeigneter Form” nachweist (§ 26 Abs. 1 DSG 2000) Kopie Lichtbildausweis RSa-Schreiben (bei öff. AG)? Vw. GH 2004/06/0221 v 9. 9. 2008 l “hoher Grad an Verlässlichkeit … zu fordern” l “Bekanntgabe Geburtsdatum … nicht durch eigenhändige Zustellung ersetzt werden” l Geburtsdatum reicht nicht aus l “eigenhändige Zustellung kann … Identitätsnachweis” nicht ersetzen © Gregor König Datenschutzgesetz 2000 56

Recht auf Auskunft – Pflichten l § 26 Auftraggeber l Auskunftserteilung/begründete Verweigerung/Negativauskunft innerhalb acht Recht auf Auskunft – Pflichten l § 26 Auftraggeber l Auskunftserteilung/begründete Verweigerung/Negativauskunft innerhalb acht Wochen (Abs. 1 und 4) – Auskunftserteilung nachholbar l ab Kenntnis vom Auskunftsbegehren Löschungssperre für vier Monate (Abs. 7) l © Gregor König durchbrochen, wenn Löschungsantrag des Betroffenen nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist Datenschutzgesetz 2000 57

Recht auf Auskunft – Inhalt Auskunft l jedenfalls: l l l l § 26 Recht auf Auskunft – Inhalt Auskunft l jedenfalls: l l l l § 26 verarbeitete Daten verfügbare Informationen über ihre Herkunft allfällige Empfänger bzw. Empfängerkreise Zweck der Datenverwendung Rechtsgrundlagen der Datenverwendung …in allgemein verständlicher Form auf Verlangen des Betroffenen l Name und Adresse von Dienstleistern, falls mit Verarbeitung seiner Daten beauftragt © Gregor König Datenschutzgesetz 2000 58

Recht auf Auskunft – Pflichten l § 26 Betroffener l Mitwirkungspflicht (Abs. 3) zur Recht auf Auskunft – Pflichten l § 26 Betroffener l Mitwirkungspflicht (Abs. 3) zur Vermeidung von ungerechtfertigten und unverhältnismäßigen Aufwand l Kostenersatz (Abs. 6) l l © Gregor König nicht aktueller Datenbestand oder nicht das erste Auskunftsbegehren im laufenden (Kalender)Jahr Datenschutzgesetz 2000 59

§ 26 Recht auf Auskunft – Ausnahmen l l soweit zum Schutz des Betroffenen § 26 Recht auf Auskunft – Ausnahmen l l soweit zum Schutz des Betroffenen aus besonderen Gründen notwendig soweit überwiegende berechtigte Interessen des Auftraggebers entgegen stehen soweit überwiegende berechtigte Interessen eines Dritten entgegen stehen, insbes. öffentliche Interessen l Schutz der verfassungsmäßigen Einrichtungen l Sicherung der Einsatzbereitschaft des Bundesheeres l Sicherstellung der Interessen der umfassenden Landesverteidigung l Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder EU l Vorbeugung, Verhinderung oder Verfolgung von Straftaten Kontrolle durch DSK (§ 30 Abs. 3, § 31 Abs. 4) © Gregor König Datenschutzgesetz 2000 60

Recht auf Auskunft – Besonderheiten 1 l Einsehbarkeit – § 26 Abs. 8 DSG Recht auf Auskunft – Besonderheiten 1 l Einsehbarkeit – § 26 Abs. 8 DSG 2000 l „öffentlich“ einsehbar entfällt „von Gesetzes wegen“ einsehbar l l l § 26 z. B elektronische Verfahrensakten Verfahren nach Regelungen des Gesetzes, das die Einsichtnahme vorsieht Außerhalb Einsichtsrecht Auskunftsrecht besteht (Klarstellung) Anrufbarkeit der DSK nach § 30 DSG 2000 § 26 Abs. 10 DSG 2000 – neuer Sonderfall l Auskunftsbegehren irrtümlich an Dienstleister l l l Pflicht zur unverzüglichen Weiterleitung an Auftraggeber Mitteilung an Auskunftswerber, dass in seinem Auftrag keine Daten verwendet werden Auftraggeber hat innerhalb von 8 Wochen ab Einlangen beim Dienstleister Auskunft zu erteilen © Gregor König Datenschutzgesetz 2000 61

Recht auf Auskunft – Besonderheiten 2 l Strafregister (Abs. 9) l l l § Recht auf Auskunft – Besonderheiten 2 l Strafregister (Abs. 9) l l l § 26 Strafregistergesetz 1968 kein Auskunftsrecht aus Papierakten (siehe z. B K 121. 240/0002 -DSK/2007, 14. 2. 2007; durch Vw. GH u Vf. GH bestätigt) Aufgaben gemäß Abs. 2 Z 1 bis 5: l besondere Auskunftsverweigerung anstelle inhaltlicher Begründung “Es werden keine der Auskunftspflicht unterliegenden Daten über Sie gespeichert. ” Kontrolle der DSK (§ 30 Abs. 3, § 31 Abs. 4) © Gregor König Datenschutzgesetz 2000 62

Recht auf Richtigstellung/ Löschung – Allgemeines 1/2 l Wann? l aus Eigenem l l Recht auf Richtigstellung/ Löschung – Allgemeines 1/2 l Wann? l aus Eigenem l l l § 27 wenn Unrichtigkeit/Unzulässigkeit der Verarbeitung bekannt z. B Daten nicht mehr erforderlich oder Gesamtinformation unrichtig auf begründeten Antrag des Betroffenen Beweislast der Richtigkeit liegt beim Auftraggeber; Bestreitungsvermerk Frist: acht Wochen © Gregor König Datenschutzgesetz 2000 63

Recht auf Richtigstellung/ Löschung – Ausnahmen 2/2 l l l § 27 Weiterverwendung für Recht auf Richtigstellung/ Löschung – Ausnahmen 2/2 l l l § 27 Weiterverwendung für anderen Zweck (wenn Übermittlung zulässig) (Abs. 1) Dokumentationszweck einer Datenanwendung (Richtigstellung durch Anmerkung) (Abs. 3) Besonderes Verfahren bei Aufgaben gemäß Abs. 2 Z 1 bis 5 (Abs. 5) © Gregor König Datenschutzgesetz 2000 64

Exkurs: Widerspruchsrecht l l Unterfall des Löschungsanspruches Wann? l l § 28 Verwendung gesetzlich Exkurs: Widerspruchsrecht l l Unterfall des Löschungsanspruches Wann? l l § 28 Verwendung gesetzlich nicht vorgesehen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen Löschung binnen acht Wochen, keine Übermittlungen mehr Sonderfall Abs. 2: l l l nicht gesetzlich angeordnete Aufnahme in öffentlich zugängliche Datei Widerspruch auch ohne Begründung Frist: acht Wochen © Gregor König Datenschutzgesetz 2000 65

Behörden und Verfahren © Gregor König Datenschutzgesetz 2000 66 Behörden und Verfahren © Gregor König Datenschutzgesetz 2000 66

Datenschutzkommission § 30 ff l l l Verfahren nach § 30 DSG 2000, Kontroll- Datenschutzkommission § 30 ff l l l Verfahren nach § 30 DSG 2000, Kontroll- und Ombudsmannverfahren Beschwerdeverfahren nach § 31 DSG 2000 Meldeverfahren (§§ 17 ff DSG 2000) Genehmigungsverfahren (§§ 46 f DSG 2000) IDVK-Genehmigungen (§§ 12 f DSG 2000) © Gregor König Datenschutzgesetz 2000 67

Anrufung der DSK bzw. der Gerichte § 31, 32 Auftraggeber des privaten Bereichs öffentl. Anrufung der DSK bzw. der Gerichte § 31, 32 Auftraggeber des privaten Bereichs öffentl. Bereich Verl. im Recht auf Auskunft Verl. im Recht a. Geheimhaltung Verl. im Recht auf Löschung/W. Verl. im Recht a. Richtigstellung © Gregor König DSK Gerichte DSK Datenschutzgesetz 2000 68

Schadenersatz l schuldhafte Verwendung l l durch Auftraggeber bzw. Dienstleister (Abs. 1) durch deren Schadenersatz l schuldhafte Verwendung l l durch Auftraggeber bzw. Dienstleister (Abs. 1) durch deren Leute (Abs. 2) Schaden nach ABGB (Abs. 1) Haftungsbefreiung l l l § 33 zur Gänze: wenn Auftraggeber/Dienstleister nachweist, dass Umstand, durch den der Schaden eingetreten ist, ihm und seinen Leuten nicht zur Last gelegt werden kann (Beweislastumkehr) zum Teil: bei Mitverschulden (Regelung des § 1304 ABGB) Zuständigkeit wie § 32 Abs. 4 © Gregor König Datenschutzgesetz 2000 69

Fristen l § 34 Eingaben nach § 30, Beschwerden nach § 31 sowie Klagen Fristen l § 34 Eingaben nach § 30, Beschwerden nach § 31 sowie Klagen nach § 32 können nur geltend gemacht werden, wenn l l der Einschreiter sie binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis (relative Frist) längstens aber binnen drei Jahren nachdem das Ereignis behauptetermaßen stattgefunden hat (absolute Frist) eingebracht hat © Gregor König Datenschutzgesetz 2000 70

Strafen © Gregor König Datenschutzgesetz 2000 71 Strafen © Gregor König Datenschutzgesetz 2000 71

Strafbestimmungen – Gericht 1/2 l Datenverwendung in Gewinn- oder Schädigungsabsicht l l l § Strafbestimmungen – Gericht 1/2 l Datenverwendung in Gewinn- oder Schädigungsabsicht l l l § 51 Daten aufgrund berufsmäßiger Beschäftigung anvertraut oder zugänglich, widerrechtlich verschafft schutzwürdiges Geheimhaltungsinteresse an diesen Daten benützen, zugänglich machen, veröffentlichen Bereicherungsvorsatz oder Schädigungsabsicht Freiheitstrafe bis zu einem Jahr Ermächtigungsdelikt nicht mehr © Gregor König Datenschutzgesetz 2000 72

Strafbestimmungen – Verwaltung 2/2 l Abs. 1 (max. € 25. 000, -- statt bisher Strafbestimmungen – Verwaltung 2/2 l Abs. 1 (max. € 25. 000, -- statt bisher € 18. 890, --) l l l l l vorsätzlich widerrechtlicher Zugang zu Datenanwendung Verletzung des Datengeheimnisses entgegen Urteil/Bescheid Daten verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht Daten vorsätzlich entgegen § 26 Abs. 7 löscht Abs. 2 (max. € 10. 000, -- statt bisher € 9. 445, --) l l § 52 Meldepflicht nicht erfüllt Datenübermittlung ins Ausland ohne Genehmigung Offenlegungs- oder Informationspflichten (§§ 23 -25) verletzt Datensicherheitsmaßnahmen gröblich außer Acht gelassen Abs. 2 a: Sanktion bei Überschreitung der 8 -Wochen-Frist bei Auskunft, Richtigstellung, Löschung 500, -- Euro Versuch strafbar (Abs. 3) Zuständigkeit: BH am Aufenthalt/Sitz des Auftraggebers (Abs. 5) © Gregor König Datenschutzgesetz 2000 73

Besondere Verwendungen © Gregor König Datenschutzgesetz 2000 74 Besondere Verwendungen © Gregor König Datenschutzgesetz 2000 74

Betroffenenrechte l l l Private Zwecke (§ 45 DSG 2000) Wissenschaftliche Forschung/Statistik Marketingbereich Publizistische Betroffenenrechte l l l Private Zwecke (§ 45 DSG 2000) Wissenschaftliche Forschung/Statistik Marketingbereich Publizistische Tätigkeit (§ 48 DSG 2000) Katastrophenfall (§ 48 a DSG 2000) Videoüberwachung © Gregor König Datenschutzgesetz 2000 75

Wissenschaftliche Forschung/Statistik 1/2 l § 46 zulässig l l wenn keine personenbezogenen Ergebnisse zum Wissenschaftliche Forschung/Statistik 1/2 l § 46 zulässig l l wenn keine personenbezogenen Ergebnisse zum Ziel (Abs. 1) l alle Daten sind öffentlich zugänglich l Auftraggeber hat Daten für andere Zwecke zulässigerweise ermittelt l Daten sind für Auftraggeber nur indirekt personenbezogen wenn personenbezogene Ergebnisse zum Ziel (Abs. 2) l alle Daten sind öffentlich zugänglich l besondere gesetzliche Vorschriften l Zustimmung des Betroffenen l Genehmigung der Datenschutzkommission © Gregor König Datenschutzgesetz 2000 76

Wissenschaftliche Forschung/Statistik 2/2 l Genehmigung der DSK (Abs. 3), wenn l l l § Wissenschaftliche Forschung/Statistik 2/2 l Genehmigung der DSK (Abs. 3), wenn l l l § 46 Einholung der Zustimmung mangels Erreichbarkeit unmöglich oder unverhältnismäßiger Aufwand + öffentliches Interesse an der Verwendung (sensible Daten: wichtiges öffentliches Interesse) + fachliche Eignung des Antragstellers glaubhaft + bei sensiblen Daten: gesetzliche Verschwiegenheitspflicht Bedingungen, Auflagen möglich (Abs. 3) Verschlüsselung des Personsbezug, wenn ausreichend; Anonymisierung, wenn Personsbezug nicht mehr erforderlich (Abs. 5) © Gregor König Datenschutzgesetz 2000 77

Marketingbereich l Übermittlung von Adressdaten zum Zweck der Benachrichtigung/Befragung zulässig, wenn … l ausdrückliche Marketingbereich l Übermittlung von Adressdaten zum Zweck der Benachrichtigung/Befragung zulässig, wenn … l ausdrückliche gesetzliche Anordnung (Abs. 1) l Zustimmung der Betroffenen (Abs. 1) l wenn Auswahlkriterien eine Beeinträchtigung der Geheimhaltungsinteressen unwahrscheinlich machen, keine Zustimmung notwendig (Abs. 2), wenn l l l l öffentliches Interesse an Benachrichtigung/Befragung entsprechende Info des Betroffenen und kein Widerspruch Genehmigung der DSK (Abs. 3 und 4), wenn l l § 47 Voraussetzungen des Abs. 2 liegen nicht vor Einholung der Zustimmung unverhältnismäßiger Aufwand wichtiges Interesse des Betroffenen selbst oder wichtiges öffentliches Benachrichtigung- oder Befragungsinteresse oder wissenschaftlicher/ statistischer Zweck überwiegende schutzwürdige Geheimhaltungsinteressen stehen nicht entgegen Bedingungen, Auflagen möglich (Abs. 4) Löschungsverpflichtung (Abs. 5) © Gregor König Datenschutzgesetz 2000 78

Videoüberwachung l Begriff: l l systematische, insbes. fortlaufende Feststellung von Ereignissen in Bezug auf Videoüberwachung l Begriff: l l systematische, insbes. fortlaufende Feststellung von Ereignissen in Bezug auf l l § 50 a ein bestimmtes Objekt eine bestimmte Person durch technische Bildaufnahme- oder Bildübertragungsgeräte daher nicht: l l l touristische, künstlerische Aufnahmen für familiäre/persönliche Zwecke (z. B Kindergeburtstag, Babyfon) ad hoc Aufnahmen © Gregor König Datenschutzgesetz 2000 79

Videoüberwachung l l l § 50 a Einhaltung § 6 f, insbes. Verhältnismäßigkeitsgrundsatz (insbes Videoüberwachung l l l § 50 a Einhaltung § 6 f, insbes. Verhältnismäßigkeitsgrundsatz (insbes gelindestes Mittel) rechtmäßige Zwecke (ausschließlich) l Schutz des/r überwachten Objekts/Person l Erfüllung rechtlicher Sorgfaltspflichten l jeweils einschließlich Beweissicherung Keine Verletzung schutzwürdiger Geheimhaltungsinteressen (ohne Interessenabwägung) l lebenswichtiges Interesse einer Person l Verhalten auf öffentliche Wahrnehmung gerichtet l ausdrückliche Zustimmung © Gregor König Datenschutzgesetz 2000 80

Videoüberwachung l § 50 a Keine Verletzung schutzwürdiger Geheimhaltungsinteressen (mit Interessenabwägung) l nicht im Videoüberwachung l § 50 a Keine Verletzung schutzwürdiger Geheimhaltungsinteressen (mit Interessenabwägung) l nicht im Rahmen der Vollziehung hoheitlicher Aufgaben und l entweder l bestimmte Tatsachen rechtfertigen Annahme, dass Objekt/Person Ort eines „gefährlichen Angriffs“ (SPG: gerichtlich strafbare Vorsatztat; auch Geschäfts- und Betriebsgeheimnisse, grobe Verwaltungsübertretungen) werden könnte § § § l spezielle rechtliche Sorgfaltspflichten zum Schutz des Objekts/der Person § l © Gregor König Vorfälle in der Vergangenheit (innerhalb 10 Jahren) an sich erhöhte Gefährdung des Ortes/der Person (Bekanntheitsgrad, verfassungsmäßiges Organ, erheblicher Geldwert) erhöhte Gefährdung der Umgebung des Ortes z. B § 1319 a ABGB, § 19 Eisb. G, §§ 6 -8 Sbg. Veranstaltungsgesetz bloße Echtzeitwiedergabe (Achtung: nur zum Eigenschutz) Datenschutzgesetz 2000 81

Videoüberwachung l Jedenfalls Verletzung schutzwürdiger Geheimhaltungsinteressen l Orte des höchstpersönlichen Lebensbereichs des Betroffenen l Videoüberwachung l Jedenfalls Verletzung schutzwürdiger Geheimhaltungsinteressen l Orte des höchstpersönlichen Lebensbereichs des Betroffenen l l Grund: stets gelinderes Mittel möglich „Zufallstreffer“ (Abs. 6) l auch wenn nicht gegen überwachte/s Objekt/Person l l l z. B Umkleidekabine, WC, Privatwohnung Mitarbeiterkontrolle am Arbeitsplatz l l § 50 a Übermittlungen an Behörden/Gerichte, wenn Verdacht auf von Amts wegen zu verfolgende gerichtlich strafbare Handlung Übermittlung an Sicherheitsbehörden im Rahmen des § 53 Abs. 5 SPG Unzulässig l Bilddatenabgleich l Durchsuchung nach sensiblen Daten als Auswahlkriterium © Gregor König Datenschutzgesetz 2000 82

Videoüberwachung l Protokollierungspflicht l jeder Verwendungsvorgang l l l § 50 b Einschau Übermittlungen Videoüberwachung l Protokollierungspflicht l jeder Verwendungsvorgang l l l § 50 b Einschau Übermittlungen Löschungen Ausnahme: Echtzeitüberwachung Löschungspflicht l l nach 72 Stunden (§ 33 Abs. 2 AVG gilt) länger nur mit Begründung; zur Zweckerreichung © Gregor König Datenschutzgesetz 2000 83

Videoüberwachung l Meldepflicht (Sonderbest. zu §§ 17 ff DSG 2000) l l „bestimmte Tatsachen“ Videoüberwachung l Meldepflicht (Sonderbest. zu §§ 17 ff DSG 2000) l l „bestimmte Tatsachen“ glaubhaft machen (z. B Anzeigen) Vorlage von BV Ausnahmen: l Echtzeitüberwachung l Aufzeichnung auf analogem Speichermedium (beschränkte Strukturierbarkeit) Vorabkontrollpflicht (§ 18 Abs. 2 DSG 2000) l l § 50 c Ausnahmen l Verschlüsselung der Daten (Hinterlegung des einzigen Schlüssels bei der DSK) Zusammenfassung von Meldungen (Abs. 3) © Gregor König Datenschutzgesetz 2000 84

Videoüberwachung l Information durch Kennzeichnung l l l Auftraggeber erkennbar Örtlich muss tunlichst Ausweichen Videoüberwachung l Information durch Kennzeichnung l l l Auftraggeber erkennbar Örtlich muss tunlichst Ausweichen möglich Ausnahme: l l l § 50 d Vollziehung hoheitliche Aufgaben, die nach § 17 Abs. 3 von Meldepflicht ausgenommen sind Spezialbestimmung zu § 24 Damit klargestellt: l verdeckte Videoüberwachung durch Private nicht zulässig (z. B Privatdetektiv) © Gregor König Datenschutzgesetz 2000 85

Videoüberwachung l l l § 50 e sieht Auskunftsrecht vor Voraussetzungen: l Beschreibung des Videoüberwachung l l l § 50 e sieht Auskunftsrecht vor Voraussetzungen: l Beschreibung des Zeitraums und Orts des möglichen Aufenthalts im überwachten Bereich (Toleranz: ½ bis 1 Stunde) l Identitätsnachweis Art: l prinzipiell Übermittlung des Bildmaterials in üblichem technischen Format l alternativ: Einsichtnahme (Recht auf Ausfolgung einer Kopie) l wenn überwiegende berechtigte Interessen Dritter entgegen stehen: l l Anspruch auf schriftliche Beschreibung oder Auskunft unter Unkenntlichmachung der anderen Personen Rest der Auskunft: schriftlich DSK-Judikatur: § 50 e legt nur Art der Auskunftserteilung fest, setzt daher das Bestehen eines Auskunftsanspruches voraus (Bescheid vom 30. 7. 2010 K 121. 605/0014 -DSK/2010) weiterhin kein Auskunftsrecht, wenn keine Auswertung l l © Gregor König Datenschutzgesetz 2000 86

Weitere Themen? © Gregor König Datenschutzgesetz 2000 87 Weitere Themen? © Gregor König Datenschutzgesetz 2000 87

Weiterführende Informationen © Gregor König Datenschutzgesetz 2000 88 Weiterführende Informationen © Gregor König Datenschutzgesetz 2000 88

Links – Österreich l Gesetzestexte: l l l Rechtsprechung der DSK l l http: Links – Österreich l Gesetzestexte: l l l Rechtsprechung der DSK l l http: //ris. bka. gv. at/dsk/ Information zur Meldung l l http: //www. dsk. gv. at http: //ris. bka. gv. at/bundesrecht/ http: //www. dsk. gv. at/site/6294/default. aspx Verfahren bei der DSK l http: //www. dsk. gv. at/site/6184/default. aspx © Gregor König Datenschutzgesetz 2000 89

Links – DSG-Novelle l Novellentext: l l http: //www. ris. bka. gv. at/Dokumente/Bgbl. Auth/BG Links – DSG-Novelle l Novellentext: l l http: //www. ris. bka. gv. at/Dokumente/Bgbl. Auth/BG BLA_2009_I_133/BGBLA_2009_I_133. pdf Begutachtung (sowie EB) l http: //www. parlament. gv. at/PG/DE/XXIV/ME/ME_ 00062/pmh. shtml © Gregor König Datenschutzgesetz 2000 90

Links – EU l Art. 29 Datenschutzgruppe l l Europäische Kommission l l http: Links – EU l Art. 29 Datenschutzgruppe l l Europäische Kommission l l http: //europa. eu. int/comm/justice_home/fsj/privacy/index_d e. htm Europäischer Datenschutzbeauftragter (EDPS) l l http: //ec. europa. eu/justice_home/fsj/privacy/workinggroup/i ndex_de. htm http: //www. edps. europa. eu Europarat l www. coe. int/T/E/Legal_affairs/Legal_cooperation/Data_protection © Gregor König Datenschutzgesetz 2000 91

Literatur l EU l l l Österreich l l l l Dammann/Simitis, Kommentar EG-Datenschutzrichtlinie, Literatur l EU l l l Österreich l l l l Dammann/Simitis, Kommentar EG-Datenschutzrichtlinie, Baden-Baden 1997 Ehmann/Helfrich, EG Datenschutzrichtlinie, Köln 2003 Dohr/Pollirer/Weiss, Kommentar Datenschutzrecht, 2. Aufl. , Wien 2002 Jahnel, Datenschutzrecht in der Praxis, Graz 2004 Flendrovsky/König/Kotschy, Die Datenschutzkommission, in Verfahren vor Sonderbehörden, Wien 2006 Wögerbauer, Der Datenschutzrat, ebenda Jahnel/Siegwart/Fercher (Hrsg. ), Aktuelle Fragen des Datenschutzrechts, Wien 2007 Jahnel (Hrsg. ), Jahrbuch Datenschutzrecht u E-Government 2008, 2009, 2010 (mit Beiträgen zur DSG-Novelle 2010) Bauer/Reimer (Hrsg. ), Handbuch des Datenschutzrechts, Wien 2009 Demnächst: l König, Praxisskriptum Datenschutzrecht (Lexis. Nexis), Frühjahr 2011 © Gregor König Datenschutzgesetz 2000 92

Kontakt Dr. Gregor König, LL. M. Datenschutzkommission Hohenstaufengasse 3, 1010 Wien Tel. : 01/53115/2768 Kontakt Dr. Gregor König, LL. M. Datenschutzkommission Hohenstaufengasse 3, 1010 Wien Tel. : 01/53115/2768 Fax: 01/53109/2768 gregor. koenig@dsk. gv. at Danke für Ihre Aufmerksamkeit ! © Gregor König Datenschutzgesetz 2000 93