Upload
udo-eberlein
View
114
Download
7
Embed Size (px)
Citation preview
© E-Commerce 2014
Expertentreff DatenschutzARGE DATEN
Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
Teil I - Datenschutzfragen und Lösungen aus der Praxis
Teil III - Open Space
Teil II - Erfahrungen aus der Beratungspraxis der ARGE DATEN
Geplanter Tagesablauf
ARGE DATEN
© E-Commerce 2014
Datenverarbeitungsregister (DVR)-Online
Wien, Hotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
ARGE DATEN
Zweck des DVRInformation der Betroffenen (§ 16 DSG 2000 – Art. 18 DatenschutzRL)
Information spielt eine zentrale Rolle im Datenschutzrecht – Betroffene haben das Recht zu wissen was mit ihren Daten geschieht!
Grundsätzliche Meldepflicht für sämtliche Datenanwendungen (§ 17 DSG 2000)
Ausnahmen bei:- veröffentlichten Daten / öffentlich
einsehbaren Registern- indirekt personenbezogenen Daten- persönlichen, familiären oder
publizistischen Zwecken- Standardanwendungen (Standard- und
Muster-Verordnung)
DVR – Wozu? und Warum?
© E-Commerce 2014
ARGE DATEN
DVR-Online - Zugang
https://www.usp.gv.at/
Unternehmen / Vereine
https://dvr.dsb.gv.at/
DVR-Online Direkteinstieg
https://www.help.gv.at/
Bürger
Behörden
http://reference.e-government.gv.at/
Zugang zum DVR-Online
© E-Commerce 2014
ARGE DATEN
https://www.usp.gv.at/
Unternehmen / Vereine
https://dvr.dsb.gv.at/
DVR-Online
Steuerpflichtige
https://finanzonline.bmf.gv.at
Über FinanzOnline ist ein DVR-Online
Zugang mittels Benutzername und Passwort möglich.
Zugang zu DVR-Online
mittels FinanzOnline
DVR-Online - Zugang
© E-Commerce 2014
ARGE DATEN
DVR-Online - Vertretungen
DVR-Online Vollmachten
Unternehmen & Vereine- Nur im Firmenbuch bzw. im Vereinsregister eingetragene Personen erhalten unmittelbar Zugang zu DVR-Online!
- Diese können über das Unternehmensserviceportal bzw. das Stammzahlenregister (http://stammzahlenregister.gv.at) weitere Personen bevollmächtigen.
Berufsmäßige Parteienvertreter- Mittels elektronischem Berufsausweis ist die Vertretung jeder natürlichen oder juristischen Person möglich.
Natürliche Personen-Können im Stammzahlenregister Vertreter bevollmächtigen.
© E-Commerce 2014
Anonymisierung von DatenVermeidung datenschutzrechtlicher Fallen
Hans G. Zeger, ARGE DATENWien, Hotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
ARGE DATENARGE DATEN
Typische Fragestellungen zur Datenverwendung
- Es ist eine Urlaubsstatistik zu erstellen, bei der je Abteilung dargestellt wird in welchen Monaten wieviel Urlaub verbraucht wurde
- Es ist eine Urlaubsstatistik zu erstellen, bei der der Urlaubsverbrauch jedes Mitarbeiters in den letzten 10 Jahren dargestellt wird
- Es ist eine Statistik bezüglich der Qualifikationen aller Führungskräfte im Konzern anzufertigen, gegliedert je Tochter / Abteilung / Kostenstelle
- Es ist eine Statistik bezüglich des Einkommens aller Führungskräfte im Konzern anzufertigen, gegliedert je Tochter / Abteilung / Kostenstelle
- Es ist eine Unfall-/Krankenstatistik gegliedert nach Branchen/Unternehmen anzulegen
- Es werden alle Befunddaten von Patienten für eine Langzeitstudie, gespeichert, aber nicht der Name des Patienten
Anonymisierung von Daten
© E-Commerce 2014
ARGE DATENARGE DATEN
Typische Fragestellungen zur Datenverwendung II
- Ein Konzern erstellt ein zentrales Mitarbeiterverzeichnis mit Gehalts-, Leistungs- und Organisationsdaten, das jedoch keinen Namen, sondern die Zugangskennung zum IT-System als Schlüssel verwendet
Welche datenschutzrechtliche Konsequenzen ergeben sich aus diesen Fragen?
Anonymisierung von Daten
© E-Commerce 2014
ARGE DATENARGE DATEN
Datenschutzrechtliche Einordnung
- das DSG 2000 regelt nur die Verwendung personenbezogener Daten von Betroffenen durch Auftraggeber
- unter Geheimhaltung fallen alle personenbezogene Daten unabhängig von ihrer Verarbeitungsform (§ 1 DSG 2000)
- werden Daten automatisiert oder manuell in Form einer Datei ("strukturiert") verwendet, muss die Verwendung einem eindeutigen Zweck folgen (§ 6 DSG 2000)
- werden Daten zur Erreichung eines bestimmten Zweckes verwendet sind zusätzlich Melde- und Genehmigungsbestimmungen zu beachten (u.a. §§ 12f, §§ 16ff DSG 2000)
- Verwendung umfasst jede Handhabung personenbezogener Daten, auch deren Ermittlung (und sei es nur zum Zweck der Anonymisierung, § 4 DSG Z 8-12 2000)
- Daten sind dann personenbezogen, wenn die faktische Zuordnung zu einer Person möglich ist (u.U. auch mit großem Aufwand oder auf rechtswidrige Weise, § 4 Z 1 DSG 2000)
Anonymisierung von Daten
© E-Commerce 2014
ARGE DATEN
DSG 2000 § 4 Z 1 "personenbezogene Daten""Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
DSG 2000 § 4 Z 3 "Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"
DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"
Anonymisierung von Daten
ARGE DATEN
© E-Commerce 2014
ARGE DATEN
DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"
DSG 2000 § 4 Z 8 "Verwenden von Daten""jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"
DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"
DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"
Anonymisierung von Daten
ARGE DATEN
© E-Commerce 2014
ARGE DATEN
Personenbezug wird beschränkt
DSG 2000 § 4 Z 1 "nur indirekt personenbezogen""... sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;"
Personenbezug erfordert rechtlich zulässige Identifikationsmittel
DSG 2000 § 46 Abs. 1 "keine personenbezogenen Ergebnisse zum Ziel""Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die ..."
Personenbezug erfordert Auswertung mit Identifikation als Ziel
Anonymisierung von Daten
ARGE DATEN
© E-Commerce 2014
Verwendung von Daten für Wissenschaftund Forschung (§ 46)
- Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind
- effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend
Folgende Daten dürfen verwendet werden:- öffentlich zugängliche Daten (Abs. 1 Z 1)
- Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2)
- indirekt personenbezogene Daten (Abs. 1 Z 3)
- gemäss gesetzlicher Vorschriften (Abs. 2 Z 1)
- mit Zustimmung des Betroffenen (Abs. 2 Z 2)
- Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3)
Anonymisierung von Daten
ARGE DATEN
© E-Commerce 2014
ARGE DATEN
Personenbezug wird beschränkt II
DSK K121.036/0014-DSK/2005 "Videoaufzeichnung ohne identifizierende Absicht""... liegt eine Verwendung von „personenbezogenen Daten“ im Sinne des § 4 Z 1 DSG 2000 bei Bildaufzeichnungen nur dann vor, wenn sie in der Absicht geschieht, die darauf vorhandenen Personen zu identifizieren, wobei es genügt, wenn diese Absicht nur für bestimmte Fälle und nicht durchgängig besteht; ..."
Personenbezug erfordert Ermitlung mit der Absicht der Identifikation
Auch im Zusammenhang mit Baustellenkameras sieht die DSB die Interessen der Öffentlichkeit, freie Meinungsäußerung und Vorteile der Lieferanten (Wetterbeobachtung) höher als die Schutzinteressen der Betroffenen
Anonymisierung von Daten
ARGE DATEN
© E-Commerce 2014
DSK K213.180/0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse")
Ausgangslage- Sozialversicherungsanstalt analysiert die
Krankenstandsverteilung von Unternehmen - Beschränkt Analyse auf Unternehmen mit mehr als 50 MA- Datenquelle sind die Krankenstandsmeldungen der Ärzte- Auswertung erfolgt nach Unternehmen, Geschlecht,
Diagnosecode- Rechtsgrundlage: § 116 Abs. 4 ASVG "Erforschung von
Krankheits- bzw. Unfallursachen"- anonymisierte Daten werden an "interessierte" Unternehmen
weiter gegeben, Übermittlung diene der betrieblichen Gesundheitsförderung
ARGE DATEN
Anonymisierung von Daten
© E-Commerce 2014
DSK K213.180/0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") II
Konsequenzen- "Erforschung" ist ein anderer Zweck als Abrechnung- Daten werden personenbezogen für neuen Zweck "ermittelt"- Datenanwendung grundsätzlich zulässig, aber meldepflichtig
Problemstellung- Diagnosedaten sind zwar bei Sozialversicherung bekannt, nicht
beim Unternehmen- DVR-Meldung von 2010 registriert zwar Auswertung
("Anonymisierung") bei Sozialversicherung, nicht aber Übermittlung an Unternehmen
- auch bei 50 MA kann durch spezielle Konstellationen das Unternehmen von den statistischen Daten auf bestimmte Mitarbeiter rückschließen
ARGE DATEN
Anonymisierung von Daten
© E-Commerce 2014
DSK K213.180/0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") III
Empfehlungen der DSK- wirksame Anonymisierung gefordert- nicht alle Kranheitsarten sind sinnvollerweise mit betrieblicher
Vorsorge in Verbindung zu bringen, Auswertungen und übermittelte Diagnosearten sind daher an Betriebsart (etwa Bauwesen, Landwirtschaft, ...) anzupassen
- bei Bedarf sind männlich / weiblich zusammen zu fassen- Zulässigkeit ergibt sich auch aus § 46 DSG 2000- Diagnosen dürfen nur dann übermittelt werden, wenn mehr als
5 Mitarbeiter betroffen sind- beruft sich auf VfGH VfSlg. 12.228/1989: generelle
Veröffentlichungspflicht statistischer Erhebungen ist verfassungswidrig
Konsequenz- Änderung der DVR-Meldung in den Datenarten- DVR-Meldung enthält nunmehr auch Übermittlung an
UnternehmenARGE DATEN
Anonymisierung von Daten
© E-Commerce 2014
DVR-Meldung SV-Hauptverband 0024279/021("Befundblätter der Vorsorgeuntersuchung VU")
Ausgangslage- Im Zuge der Vorsorgeuntersuchungen werden Befunddaten
personenbezogen an den Hauptverband der Sozialversicherungen übermittelt (manuell/elektronisch)
- Rechtsgrundlage sind diverse Bestimmungen des ASVG, GSVG, ... + interne Richtlinien des HV
- Befunddaten sind sensible Daten im Sinne des DSG 2000- VU-Daten werden zur Abrechnung und zur Evaluation der
Vorsorgeuntersuchungen verwendet (zwei verschiedene Zwecke)
- Bestimmungen sehen jährliche Statistiken vor, § 31 Abs. 4 Z 10 ASVG bestimmt HV als Pseudonymisierungsstelle ("Dienstleister")
- eine personenbezogene Speicherung der Befunddaten lässt sich aus den ASVG-Bestimmungen (+ verwandte) nicht ableiten
- Qualitätskriterien zur Anonymisierung werden nicht vorgegeben
ARGE DATEN
Anonymisierung von Daten
© E-Commerce 2014
DVR-Meldung SV-Hauptverband 0024279/021("Befundblätter der Vorsorgeuntersuchung VU") II
Probleme- die Verrechnung erfolgt durch die zuständige SV (z.B. WGKK
0023957/013 KOSTENABRECHNUNG IM LEISTUNGSWESEN)Daten sind beim HV eigentlich am "falschen" Ort
- Verrechnungsdaten werden personenbezogen an SV übermittelt
- auch das Ermitteln von Befunddaten zum Zweck der Pseudonymisierung ist eine Datenanwendung iS des DSG 2000
- HV sieht sich anfänglich bloß als Dienstleister der Ärzte (Durchführen der Pseudonymisierung) und der SV (Aufbereiten der Abrechnungsdaten)
- HV sah daher keine Meldeverpflichtung- Meldung wurde "verspätet" 12/2005 eingebracht und 5/2006
mit Auflagen genehmigtARGE DATEN
Anonymisierung von Daten
© E-Commerce 2014
DVR-Meldung SV-Hauptverband 0024279/021("Befundblätter der Vorsorgeuntersuchung VU") III
Entscheidung DSK- genehmigt Datenanwendung mit Auflagen- Befunddaten zum Zweck der Verrechnung dürfen nur maximal
ein Monat nach Einlangen personenbezogen gespeichert werden- Löschung muss nach einem Monat automatisiert erfolgen- die sonstigen Daten der Vorsorgeuntersuchung dürfen nur
pseudonymisiert beim HV verwendet werden (etwa für statistische Auswertungen)
- es wird sichere Aufbewahrung verlangt ("vor dem Zugriff Unbefugter sicher geschützt")
Konsequenzen- Verbot der personenbezogenen Verwendung der Daten macht
aus den "pseudonymen" Daten für HV indirekt personenbezogene Daten
- HV hat 2013 weitere Pseudonymisierungsverarbeitungen gemeldet
- generell gilt: auch pseudonymisierte Datenanwendungen fallen für "Pseudonymisierer" unter die Meldebestimmungen des DSG 2000
ARGE DATEN
Anonymisierung von Daten
© E-Commerce 2014
ARGE DATENARGE DATEN
Antworten zu den Eingangs-Fragestellungen
Anonymisierung von Daten
Welche datenschutzrechtliche Konsequenzen ergeben sich aus diesen Fragen?
[1] liegt personenbezogene Datenanwendung vor?
[2] ist die Datenanwendung zulässig?
[3] liegt meldepflichtige Datenanwendung vor?
[4] liegt Erfordernis der Vorabkontrolle vor?
[5] beachten der Sicherheitsmaßnahmen gemäß § 14 DSG 2000
- Es ist eine Urlaubsstatistik zu erstellen, bei der je Abteilung dargestellt wird, in welchen Monaten wieviel Urlaub verbraucht wurde[1] keine personenbezogene Anwendung, wenn Abteilungen genügend groß ist (5 Mitarbeiter)[2] durch § 46 DSG 2000 privilegiert[3], [4] nicht zutreffend[5] ja beim Erzeugen der Statistik, da Basisdaten personenbezogen
© E-Commerce 2014
ARGE DATENARGE DATEN
Antworten zu den Eingangs-Fragestellungen II
Anonymisierung von Daten
- Es ist eine Urlaubsstatistik zu erstellen, bei der der Urlaubsverbrauch jedes Mitarbeiters über die letzten 10 Jahre dargestellt wird[1] "Statistik" irreführend, ist personenbezogene Anwendung[2] muss begründet werden[3] vermutlich ja, da nicht für Personaladministration (SA002) erforderlich [4] nein, [5] ja
- Es ist eine Statistik bezüglich der Qualifikationen aller Führungskräfte im Konzern anzufertigen, zusammengefasst je Tochter / Abteilung / Kostenstelle[1] ob personenbezogene Anwendung vorliegt, hängt von der Detailierung ab, in der Regel eher ja[2] muss begründet werden[3] ja, SA002 und SA033 treffen nicht zu, wer meldepflichtig ist hängt davon ab, wo Statistik erstellt wird (Tochter / Zentrale)[4] in der Regel nicht zutreffend, [5] ja
© E-Commerce 2014
ARGE DATENARGE DATEN
Antworten zu den Eingangs-Fragestellungen III
Anonymisierung von Daten
- Es ist eine Unfall-/Krankenstatistik gegliedert nach Branchen/Unternehmen anzulegen siehe DSK-Entscheidung TGKK
- Es ist eine Statistik bezüglich des Einkommens aller Führungskräfte im Konzern anzufertigen, zusammengefasst je Tochter / Abteilung / Kostenstelle[1] ob personenbezogene Anwendung vorliegt, hängt von der Detailierung ab, in der Regel eher ja[2] fraglich ob begründbar[3] ja, SA002 und SA033 treffen nicht zu, wer meldepflichtig ist hängt davon ab, wo Statistik erstellt wird (Tochter / Zentrale)[4] in der Regel nicht zutreffend, [5] ja
- Es werden alle Befunddaten von Patienten für eine Langzeitstudie, gespeichert, aber nicht der Name des Patienten siehe DSK-Entscheidung Hauptverband SV
© E-Commerce 2014
ARGE DATENARGE DATEN
Antworten zu den Eingangs-Fragestellungen IV
Anonymisierung von Daten
- Ein Konzern erstellt ein zentrales Mitarbeiterverzeichnis mit Gehalts-, Leistungs- und Organisationsdaten, das jedoch keinen Namen, sondern die Zugangskennung zum IT-System als Schlüssel verwendet[1] Zugangskennung kann als Pseudonymisierungsschlüssel angesehen werden[2] muss begründet werden, § 46 DSG 2000 ist jedoch nicht zutreffend[3] für jede Tochter prüfen ob Zweck+Daten durch SA002 abgedeckt oder darüber hinausgehend, für Konzern keine Meldepflicht, da bei geeigneter Vereinbarung "indirekt" personenbezogene Daten[4] bei Tochter in der Regel nicht zutreffend, bei Konzern nicht zutreffend[5] ja, sowohl bei Tochter und Konzern, auch indirekt personenbezogene Daten sind sicherheitstechnisch wie sonstige personenbezogene Daten zu behandeln
© E-Commerce 2014
Weitergabe von KundendatenÜbermittlung an Behörden und private
Einrichtungen Hans G. Zeger, ARGE DATEN
Wien, Hotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
ARGE DATENARGE DATEN
Datenschutzrechtliche Stellung von Kundendaten- Kundenbeziehungen sind im Grundsatz vertraulich, fallen
daher unter die Bestimmungen des DSG 2000
- interne Verwendung von Kundendaten ergibt sich aus der Art der Geschäftsbeziehung (Vertrag), dazu ist keine gesonderte Datenschutzvereinbarung erforderlich, jedoch Informationspflicht zu Auftraggeber und Zweck der Datenverwendung (§ 24 DSG 2000)
- Verwendung (inkl. Übermittlung) durch/an Dritte die vertraglich erforderlich ist, ist durch § 8 Abs. 1 Z 4 DSG 2000 geregelt
- Veröffentlichung von Kundendaten (auch wenn nur mit Name und Adresse) als Referenz ist ein eigener Zweck (Marketing für eigene Zwecke) und bedarf der Zustimmung des Kunden
- sonstige Übermittlungen an Behörden oder Dritte bedürfen - der Zustimmung des Kunden oder- einer vertraglichen Vereinbarung oder- einer gesetzlichen Regelung oder- Daten sind "allgemein verfügbar"
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
Datenschutzrechtliche Stellung von Kundendaten II
Weitergabe von Kundendaten
- selbst wenn Kunde "im Telefonbuch steht", ist die Tatsache Kunde zu sein, in der Regel nicht allgemein verfügbar
- auch die Weitergabe von Kundendaten an Gesellschafter ist eine Übermitlung an Dritte und bedarf einer rechtlichen Grundlage
Verpflichtung des Auftraggebers bei Auskunftswünschen
- Prüfung der Rechtsgrundlage
- Prüfung des Anfragenden (des berechtigten Empfängers)
- Prinzip der Minimalität der Auskunft
- Sichere Übermittlung der DatenWerden diese Verpflichtungen verabsäumt besteht Schadenersatzanspruch durch Kunden, u.a. § 33 DSG
2000
© E-Commerce 2014
ARGE DATENARGE DATEN
Weitergabe an Behörden
- zahlreiche gesetzliche Bestimmungen sehen Weitergabe vor
Auswahl
- ZPO ("Zivilprozessordnung")
- StPO ("Strafprozessordnung")
- SPG ("Sicherheitspolizeigesetz")
- BAO ("Bundesabgabenordnung")
- ECG ("E-Commerce Gesetz")
- TKG 2003 ("Telekommunikationsgesetz")
- UrhG ("Urheberrechtsgesetz")
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
ZPO ("Zivilprozessordnung")- Aussageverpflichtungen in Verfahren Dritter im
wesentlichen in §§ 320ff ZPO geregelt- Aussagepflicht besteht nur als Zeuge (Einvernahme bei
Gericht), jedoch keine Pflicht zur Urkundenvorlage- berufliche Verschwiegenheitsrechte haben Vorrang- Geheimhaltungsbestimmungen des DSG 2000 jedoch keine
Grundlage zur Aussageverweigerung- Aussageverweigerung zur Wahrung von Betriebs- oder
Geschäftsgeheimnissen des Auftraggebers möglich, muss im Einzelfall begründet werden
- Ladung muss genau den Einvernahmegegenstand beschreiben, Vorbereitung auf Einvernahme durch Einsicht in Kundendaten geboten und zulässig (ansonsten Neueinvernahme möglich)
- Unzulässig wäre das vorbeugende Mitnehmen/Vorlegen eines Kundenakts, die vorbeugende Erhebung oder Auswertung von Kundendaten, Auskünfte über den Ladungsgegenstand hinaus
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
StPO ("Strafprozessordnung")- Anfrageberechtigt sind Staatsanwaltschaft oder
Sicherheitsbehörden- unterschiedliche Ermittlungsformen (§ 151 StPO)
- informelle Erkundungen (freiwillige Auskunft)- formelle Vernehmungen (verpflichtend)
- in allen Fällen ist auf amtliche Stellung hinzuweisen- berufliche oder sonstige Entschlagungsrechte bleiben
unberührt- im Falle der formellen Vernehmung kann eine Auskunft
dann verweigert werden, wenn es zu einem Eingriff in den höchstpersönlichen Lebensbereich des Kunden kommt (§ 158 Abs 1 Z 3 StPO)
- ansonsten sind auch sensible Daten zu beauskunften- im Falle informeller Erkundigungen sollte Auskunft über
vertrauliche Kundendaten generell verweigert werden (zulässig wäre sie höchstens bei nichtsensiblen Daten im überwiegenden Interesse des Auftraggebers/Dritter)
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
StPO ("Strafprozessordnung") II- zulässig wäre auch die Sicherstellung von Beweisstücken,
bei IT Erstellung einer Kopie (§ 110 StPO)- gegen Sicherstellung ist Einspruch möglich, jedoch ohne
aufschiebende Wirkung (§ 106 StPO)- Sicherstellung bedarf Anordnung der Staatsanwaltschaft- Unterlagen müssen beweisrelevant sein oder müssen
beweisrelevante Spuren enthalten- Bedeutung für die konkrete Untersuchung muss
nachvollziehbar sein- umfassende Sonderreglungen für die Bekanntgabe von
Internet- und Telekomdaten (§ 135 StPO)- Möglichkeit eines Datenabgleichs nach § 141 StPO- Datenabgleich bedarf gerichtliche Genehmigung und
entsprechenden Beschluss (§ 142 StPO)- Datenabgleich derzeit nicht von praktischer Bedeutung
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
SPG ("Sicherheitspolizeigesetz")- Anfrageberechtigt sind Sicherheitsbehörden- unterschiedliche Ermittlungsformen
- „formlose“ Auskunftsverlangen (freiwillig, § 34 SPG)- Erhebung personenbezogener Daten (verpflichtend, § 53 SPG)
Verarbeitungsvoraussetzungen- Ermittlung von sachdienlichen Hinweisen im Rahmen der
"ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1)Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab
- § 53 listet zulässige Verarbeitungen auf, u.a.Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2Abwehr gefährlicher Angriffe iS § 16 Abs. 2Zwecke der Fahnung iS § 24Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten EreignisBeschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig
Weitergabe von Kundendaten
© E-Commerce 2014
SPG - Regelung Ermittlungsstellen § 53- "Generalermächtigung": alle verfügbaren Quellen durch
Einsatz geeigneter Mittel, insbesondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4)
- Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3)Anwendungsfall: Abwehr krimineller Verbindungen ( § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung ( § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe ( § 53 Abs. 1 Z 3)Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund
- Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d)keine Auskunftsverweigerung vorgesehen
Weitergabe von Kundendaten
ARGE DATEN
© E-Commerce 2014
SPG - Regelung Ermittlungsstellen § 53 II- Verwendung von Bild- und Tondaten von öffentlichen und
privaten Rechtsträgern (§ 53 Abs. 5)Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit ( ??), erweiterte Gefahrenerforschung ( Abs. 1 Z 2a) und Fahndung iS § 24 ( Abs. 1 Z 5)Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören)
- detaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c)
Weitergabe von Kundendaten
ARGE DATEN
© E-Commerce 2014
ARGE DATENARGE DATEN
BAO ("Bundesabgabenordnung")- Anfrageberechtigt sind Finanzbehörden- Möglichkeit des Auskunftsverlangens (§ 143 BAO) sowie
der förmlichen Zeugenladung (§ 91 BAO)- auch Nachschau ist möglich (§ 144 BAO)- umfasst Angaben zur Abgabeverpflichtung
(steuerrelevante Daten)- betrifft nicht nur eigene Abgabenverpflichtung, sondern
auch Abgabenverpflichtung Dritter (etwa der Kunden)- Auskunftspflicht besteht auch ohne „formelle
Zeugeneinvernahme“ (strenger als StPO)- Auskunft und Nachschau kann durch die Behörde gem. §
111 BAO durch Zwangsstrafen erzwungen werden- berufsmäßige Verschwiegenheitspflicht sehen die
Gesetzesbestimmungen nicht vor, Verweigerungsrecht jedoch bei Gefahr der Verletzung von Geschäftsgeheimnissen des Kunden oder des Auftraggebers
Weitergabe von Kundendaten
© E-Commerce 2014
Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (§ 18 ECG Abs. 2)
Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber
- Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3)
- dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4)
Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers,
mit dem Hostingvereinbarung abgeschlossen wurde
Gilt auch bei unentgeltlichen Diensten!ARGE DATEN
ECG ("E-Commerce Gesetz")
Weitergabe von Kundendaten
© E-Commerce 2014
Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003)- Name, akademischer Grad, Wohnadresse,
Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e)
- Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen
- schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich
ARGE DATEN
Weitergabe von Kundendaten
TKG 2003 ("Telekommunikationsgesetz")
© E-Commerce 2014
Auskunft an Notrufträger (§ 98 TKG 2003)- Name, akademischer Grad, Wohnadresse,
Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6)
- Standortdaten sind schon bei Rufaufbau bekannt zu geben- wenn aktuelle Standortdaten nicht feststellbar, dann auch
Auskunft über letzte bekannte Cell-ID- Auskunftserfordernis ist durch Notrufträger zu
dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen
ARGE DATEN
Weitergabe von Kundendaten
TKG 2003 ("Telekommunikationsgesetz") II
© E-Commerce 2014
Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen
Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG)
Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht)
2 Fragen des OGH an EuGH (17.11.2007 + Antwort EuGH LSG/Tele2, C-557/07, 19.2.2009):
- Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint?
- Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem die EU-Datenschutzrichtlinie entgegen?
JA
JA | NEIN | gesetzliche Regelung zulässig
ARGE DATEN
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
Weitergabe an sonstige Dritte- Weitergabe an Dritte ohne "öffentliches Interesse" wird in der
Regel unzulässig sein, wenige Ausnahmen im ECG und UrhG (siehe oben)
- keine Auskunftsverpflichtungen gegenüber Anwälte, Inkassobüros, Wirtschaftsauskunftsdienste, ...
- im Gegenteil! Auskünfte an diese Einrichtungen können zu Datenschutzverletzung + Schadenersatzpflicht führen
- aber! Verurteilungen die auf Grund eines rechtswidrigen Verhaltens des Kunden und auf Basis von rechtswidriger Auskünfte des Auftraggebers erfolgen, führen zu keinem Schadenersatzanspruch!
- zulässige Sonderfälle für Übermittlung möglich
- Übermittlung von Kundendaten zu Zwecken der Forschung oder von Erhebungen im öffentlichen Interesse (§§ 46, 47 DSG 2000, Genehmigung der DSB erforderlich, Übermittlung freiwillig)
- Übermittlung pseudonymisierter Daten (sind für Empfänger indirekt personenbezogene Daten, Übermittlung freiwillig)
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
Weitergabe an Vertreter des Kunden- Weitergabe an Vertreter des Kunden ist nicht als Übermittlung
zu klassifizieren
- Umfang ident den Auskunftsansprüchen des Kunden
- rechtlich einfach, jedoch ist beim Nachweis der Vertretereigenschaft ausreichende Sorgfalt anzuwenden
- Berufung auf Vertretung reicht nicht, auch nicht bei Rechtsanwälten oder Notaren, schriftliche Dokumentation der Vertretungseigenschaft empfohlen
- Vorbeugende Auskunftsregeln schaffen, etwa:- nur schriftliche Auskünfte- Auskunft in Form von Rückmeldung nur an intern dokumentierte Kontatadressen (Post, Telefon, Fax, E-Mail, ...)- Verwendung von vertraulichen Kennungen als Nachweis des Auskunftsanspruchs
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
Empfehlungen an Mitarbeiter- Grundsätzlich kann jeder Mitarbeiter (nicht nur Support,
Hotline, ...) von einem Auskunftswunsch "überrascht" werden
- Sensibilisierung von besonderen Mitarbeitergruppen, wie Telefonzentrale, Verkauf, Posteingangsstellen, ... wichtig
- Sensibilisierung, dass auch "einfache" Anfragen zu einer Datenschutzverletzung führen können ("Ist XY Kunde bei Ihnen?")
- Klare Zuständigkeiten schaffen und laufend kommunizieren
- für Standardfälle einfache Regeln schaffen, nicht "alles" auf Rechtsabteilungen oder Geschäftsführungen delegieren
- Mitarbeiter trainieren Auskunftswünsche strukturiert zu erfassen, WWWW-PRINZIP: Wer möchte Welche Daten über Welche Person Warum wissen?
- Nur tatsächlich angefragtes (sofern berechtigt) beauskunften
- Auskunft nur über sichere Übertragungswege
- Jeden Auskunftswunsch (auch unberechtigte) dokumentieren
Weitergabe von Kundendaten
© E-Commerce 2014
ARGE DATENARGE DATEN
Empfehlungen an Auftraggeber
- haben das Minimalitätsgebot nach § 6 DSG 2000 bei der Verwendung von Kundendaten zu beachten
- "überflüssige" Kundendaten sind nach § 27 DSG 2000 zu löschen
- Auskunftsverpflichtungen (StPO, SPG, BAO) beziehen sich auf die vorhandene Daten, unabhängig davon ob sie rechtmäßig (iS DSG 2000) verwendet werden
- "Rechtswidrigkeit" der Daten für sich genommen, begründet noch keinen Verweigerungsgrund, sind jedoch Daten nicht vorhanden, können sie nicht beauskunftet werden
- sich auf Auskunftswünsche vorbereiten, teilweise zeitkritisch
- sich um sichere Übertragungswege kümmern
Weitergabe von Kundendaten
© E-Commerce 2014
DSK-Entscheidung zur IP-Adresse(Empfehlung K213.000/0005-DSK/2006 29.9.2006)
Ausgangslage
Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte.
Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte
DSK-Empfehlung
- IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten)
- bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden
- die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässigARGE DATEN
Weitergabe von Kundendaten
© E-Commerce 2014
Aufbewahrungsdauer bei FlatRate-DatenStellungnahme Art. 29-Gruppe WP69 29.1.2003
- werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden
- auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen)
- einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer
- für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer
Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig
ARGE DATEN
Weitergabe von Kundendaten
© E-Commerce 2014
Software und Datenschutzdatenschutzrechtliche Verpflichtung bei
SoftwareproduktenHans G. Zeger, ARGE DATEN
Wien, Hotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
ARGE DATENARGE DATEN
Software und Datenschutz
Was ist Software im Lichte des Datenschutzes?- DSG 2000 ist technikneutral formuliert, umfasst sowohl automatisierte Datenverarbeitung, als auch manuelle Dateien
- Software wird im DSG 2000 nicht ausdrücklich erwähnt, entscheidend für eine zulässige Datenverarbeitung ist das Bestehen eines berechtigten Zweckes
Fragen- Darf Software eingesetzt werden die offensichtlich datenschutzwidrige Datenfelder enthält / Auswertungen erlaubt?Beispiele: HR-Software mit Feldern zu detaillierten Gesundheitsangaben der Mitarbeiter, Spähsoftware mit Key-Loggerfunktion, ...
- Wer ist für eine rechtskonforme Funktionalität verantwortlich?
© E-Commerce 2014
ARGE DATENARGE DATEN
Software und Datenschutz
Voraussetzungen zum Software-Einsatz- Software muss "sicher" sein, d.h. sie muss geeignet sein die Bestimmungen des § 14 DSG 2000 zu erfüllen:- Protokollierungsmöglichkeit- Zugriffsschutz- Aufgabentrennung
- Sichehreits-Maßnahmen müssen nicht zwangsläufig technisch realisiert werden
- es kann weiterreichende zusätzliche einzelgesetzliche Bestimmungen geben, etwa: Verschlüsselungsverpflichtung bei Videoaufzeichnung (SA032), verschlüsselte Datenübertragung bei Gesundheitsdaten durch GDA (GTelG), Auflagen der DSB, ...
- Software, denen diese Funktionalität fehlt, darf nicht verwendet werden
- Software darf nicht StGB-Bestimmungen widersprechen: Missbrauch von Computerprogrammen oder Zugangsdaten (§ 126c StGB) Cracker-Tools
© E-Commerce 2014
ARGE DATENARGE DATEN
Software und Datenschutz
DS-Empfehlungen zu Software- für Funktionalität ist immer Auftraggeber verantwortlich, ebenso für die Erfüllung der Sicherheitsmaßnahmen
- Software, die nicht DSG-konform verwendet werden kann, darf nicht eingesetzt werden
- Software, die sowohl DSG-konform, als auch Nicht-DSG-konform verwendet werden kann, ist so einzusetzen, dass die nicht konformen Teile deaktiviert sind (kann technisch oder organisatorisch erfolgen)
- im Zusammenhang mit Betriebsvereinbarungen ist immer die tatsächlich technisch installierte Software zu betrachten, nicht die theoretisch mögliche Funktionalität (OGH 8ObA97/03b)
© E-Commerce 2014
ARGE DATENARGE DATEN
Software und Datenschutz
Konsequenzen für Software-Anbieter- es kann eine Entscheidungshilfe darstellen, wenn der Anbieter Informationen zu Meldepflichten und Einsatzbedingungen gibt, verpflichtet ist er dazu nicht
- es ist irreführend damit zu werben, eine Software an sich sei "datenschutzkonform"
- eine Datensschutzprüfung ("Gütesiegel", "Audit") von Software ist möglich und sinnvoll, muss aber immer die konkrete Einsatzsituation inklusive der zulässigen Zwecke beschreiben
- derzeit gibt es (noch) keine verbindlichen Datenschutz-Auditverfahren für Software
© E-Commerce 2014
Verwendung persönlicher MerkmaleDarf der Arbeitgeber den Einsatz
persönlicher Merkmale verlangen?Hans G. Zeger, ARGE DATEN
Wien, Hotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
ARGE DATENARGE DATEN
Verwendung persönlicher Merkmale
Was sind persönliche Merkmale?- jedenfalls biometrische Daten, wie Fingerabdruck, Iris, Handvenen, DNA, persönliche Unterschrift, ...
- sonstige Angaben, die zu ausschließlich privaten Zwecken zugeordnet werden, etwa Zugangskennung zum privaten Bankkonto, privater Finanz-Online-Zugang, ...
- sonstige Hilfsmittel, die zur privaten Verwendung vorgesehen sind: Bürgerkarte auf E-Card, private Bankomatkarte, ...
- alle diese Merkmale fallen unter DSG 2000 und können (etwa bei DNA oder Iris-Daten) sogar sensible Daten umfassen
Problemstellung- in der betrieblichen Praxis kann es erforderlich sein, persönliche Merkmale zur Steuerung von (IT-)Systemen zu verwenden
- Beispiele: Zutritt zu Bio-Labors mittels Iris-Scan, Venenscan bei Piloten, Anmeldung mit Bürgerkarte bei USP, DVR-Online, ...
- Kann ein Mitarbeiter verpflichtet werden persönliche Merkmale aus betriebsinternen Gründen bereit zu stellen?
© E-Commerce 2014
ARGE DATENARGE DATEN
Verwendung persönlicher Merkmale
Verwendung nicht grundsätzlich ausgeschlossen- manche Verwendungen durch Gesetzgeber privilegiert bzw. sogar vorausgesetzt: etwa die eigenhändige Unterschrift unter den Arbeitsvertrag
- in sonstigen Fällen ist nach Erforderlichkeit, Verhältnismäßigkeit und Zumutbarkeit vorzugehen
- Entscheidung OGH 9 ObA 109/06d ("Fingerabdruck zur Zeiterfassung") setzt sich ausführlich mit dieser Abschätzung auseinander
- Entscheidung erwähnt ausdrücklich die Zulässigkeit des "Fingerabdrucks" im Zusammenhang mit Hochsicherheitsbereichen
- Entscheidung lehnt "Fingerabdruck" bei Zeiterfassung ab, weil nicht erforderlich und gleichwertige Alternativen existieren
© E-Commerce 2014
ARGE DATENARGE DATEN
Verwendung persönlicher Merkmale
Konsequenz- es kann vom Mitarbeiter nicht durchsetzbar verlangt werden, seine persönliche "Bürgerkarte" oder seinen persönlichen Finanz-Online-Zugang für betriebliche Zwecke zu nutzen, es gibt dazu für die Unternehmen Alternativen
- möglich ist jedoch eine freiwillige Zustimmung iS § 4 Z 14 DSG 2000 oder eine arbeitsvertragliche Vereinbarung
- in Betrieben mit Betriebsrat/Personalvertretung wird zusätzlich eine BV zum Umfang der Datenverwendung erforderlich sein
- Mehrkosten wegen der Beschaffung von zusätzlichen Berechtigungen (etwa Firmen-Bürgerkarten) sind kein Argument um den Einsatz persönlicher Merkmale zu erzwingen
Ergebnis- der Einsatz persönlicher Merkmale sollte auf wenige tatsächliche Hochsicherheitsbereiche beschränkt werden
- betriebliche Abläufe ausschließlich an persönliche Merkmale bestimmter Mitarbeiter zu binden kann zu Problemen führen
© E-Commerce 2014
ARGE DATENARGE DATEN
Verwendung persönlicher Merkmale
Fallbeispiel: Fingerprint von KundenSachverhalt
- Ein Unternehmen (Glücksspiel) möchte Kunden mittels Fingerprint (statt Magnetkarte) identifizieren.
Analyse- grundsätzlich zulässig (Vertragsfreiheit), Fingerabdruck ist zwar invasiver Eingriff, aber wohl noch zulässig
- Glücksspielgesetz (GSpG) gibt strenge Identifikationsauflagen vor (inkl. Sperrmöglichkeit von Spielern)
- Unternehmen ist gemäß GSpG verpflichtet sicherzustellen, dass Identifikation nicht missbraucht oder umgangen wird
- Fingerprintscan zulässig, es ist jedoch zu bedenken, dass Fingerprints relativ unzuverlässig sind (FAR und FRR beachten)
- Scan muss so gestaltet werden, dass Daten nicht für andere Zwecke genutzt werden können
- beste Lösung zur Sicherung der Privatsphäre und den Sicherheitsvorgaben des GSpG ist Kombination mit Karte
© E-Commerce 2014
Expertentreff - Open SpaceHans G. Zeger, ARGE DATEN
Wien, Hotel Schönbrunn, 26. November 2014
ARGE DATEN
© E-Commerce 2014
Shared Services
Archivierung, Akten-/Datenvernichtung
Big Data Analysen
Zusendung vom Seniorenbund
Themen Open Space
ARGE DATEN
© E-Commerce 2014
Was ist Shared-Service?
- technisch/organisatorisch: Nutzung fremder Infrastruktur
- im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten
Shared-Service
ARGE DATEN
© E-Commerce 2014
ARGE DATENARGE DATEN
Meldepflichten bei Shared-ServiceAusgangslage
- Unternehmen möchte einzelne Datenverarbeitungsschritte (Archivierung, HR, Auftragsabwicklung, ...) in einem Shared-Service auslagern
- Mehrere österreichische Unternehmen verwenden dieselbe Infrastruktur
- Mehrere österreichische Unternehmen nutzen dieselben Daten
Fragestellungen
- Welche Meldepflichten ergeben sich?
- Ist eine Betriebsvereinbarung abzuschließen?
- Welche "Erleichterungen" ergeben sich für die österreichischen Unternehmen?
Shared-Service
© E-Commerce 2014
ARGE DATENARGE DATEN
Meldepflichten bei Shared-Service IIKonsequenzen internationaler Datenverkehr
- garantiert das Shared-Service die Verarbeitung der Daten ausschließlich innerhalb der EU, dann ergeben sich keine Meldepflichten
- bietet das Shared-Service seine Dienste weltweit gemäß EU-Standardvertragsklauseln an, dann ist der Einsatz (internationaler Datenverkehr) bei der DSB genehmigungspflichtig - ist der Vertrag von der Liste der Verarbeiter unterfertigt, ist die Genehmigung kein Problem
- kann das Shared-Service keine verbindlichen vertraglichen Zusagen machen, wo er die personenbezogenen Daten tatsächlich verarbeitet, wird die DSB keine Genehmigung erteilen
Shared-Service
© E-Commerce 2014
ARGE DATENARGE DATEN
Meldepflichten bei Shared-Service IIIKonsequenzen gemeinsame Infrastruktur
- verwenden mehrere Konzernunternehmen zwar dieselbe IT-Plattform, jedes Unternehmen kann aber nur auf die eigenen Daten zugreifen, ergeben sich keine weiteren Genehmigungsverpflichtungen
- verwenden mehrere österreichische Konzernunternehmen dieselben Daten (z.B. Mitarbeiterdaten, Bewerberdaten), dann liegt ein Informationsverbundsystem vor:werden mehr Daten als in der Standardanwendung SA 033 verarbeitet ist der Betreiber (Shared-Service) der DSB zu meldendie Datenanwendung selbst (inkl. Übermittlung an Konzernunternehmen) ist von jedem österreichischen Unternehmen als Informationsverbundsystem genehmigen zu lassen
- verwenden ein österreichisches und mehrere ausländische Konzernunternehmen dieselben Daten, dann liegt kein Informationsverbundsystem vor, es ist nur die Übermittlung der Daten an Drittunternehmen bei der DSB (DVR) zu melden
Shared-Service
© E-Commerce 2014
ARGE DATENARGE DATEN
Meldepflichten bei Shared-Service IVsonstige Konsequenzen
- aus dem Einsatz von Shared-Service alleine ergibt sich keine Verpflichtung eine BV (Betriebsvereinbarung) abzuschließen
- es kann jedoch die Shared-Service - Dienstleistung über bestehende Datenverarbeitungen hinausgehen, dann könnte es erforderlich sein eine BV abzuschließen
- abgesehen von den "Konzernerleichterungen" die sich aus SA 033 ergeben, gibt es keine Konzernerleichterungen bei Shared-Services
Auftraggeber bleibt verantwortlich, egal wie Shared-Service organisiert ist, auch bei
Heranziehung von Sub- und Sub-Sub-Dienstleistern
Shared-Service
© E-Commerce 2014
ARGE DATEN
DSG 2000 regelt jede Verwendung personenbezogener Daten
Unternehmen A als Auftraggeber
Verwendung für berechtigten Zweck,
z.B. speichern, ändern, sortieren,
auswerten, ausdrucken,
lesen, ...
(1) Unternehmen A ist Auftraggeber eines anderen berechtigten Zweckes
berechtigter Zweck fällt
weg
(2) Unternehmen A hat keinen weiteren berechtigten Zweck, aber Archivierungspflichten
weitere Verwendung
Archivierung ist
Datenverwendung iS DSG
2000
(3) Unternehmen A hat weder weiteren berechtigten Zweck, noch Archivierungspflichten
Löschung aller Daten, ist
Datenverwendung iS DSG
2000
Ermittlung von Daten für
berechtigten Zweck
Übermittlung
Unternehmen B ist Auftraggeber für eigene Zwecke
(2) und (3) sind Verpflichtungen des Unternehmens A, er kann sich aber eines Dienstleisters bedienen
Überlassen ist Datenverwendung iS DSG 2000
Archivierung, Akten-/Datenvernichtung
© E-Commerce 2014
ARGE DATEN
Archivierung, Akten-/Datenvernichtung
Dienstleister im Sinne des DSG 2000 (§§ 10f)- Dienstleistung liegt vor, wenn ein Verantwortlicher
jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut
- Geeignete Vereinbarungen sind zu treffen: Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
- Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]
- Subdienstleister nur mit Billigung des Auftraggebers
Archivierung, Datenvernichtung bzw. -löschung ist eine derartige Dienstleistung
© E-Commerce 2014
ARGE DATEN
Pflichten des Dienstleisters (§ 11)
(A) Vertragliche Verpflichtungen- werden in der Regel die zulässigen Verwendungen der
Daten beschreiben, z.B. Mindestkriterien bei der Datenträgerzerstörung, Beschreibung der Vernichtungsabläufe, Mindestkriterien zum Datenträgertransport, Deponierung usw.
(B) gesetzliche Verpflichtungen- nur auftragsgemäße Datenverwendung- treffen ausreichender Sicherheitsmaßnahmen nach § 14
DSG 2000- Mitarbeiter zur Datenverschiegenheit verpflichten (siehe
§ 15)- Subdienstleister nur mit Billigung des Auftraggbers
heranziehen (Achtung! Schon ein Spediteur, der Datenträger abholt wäre ein derartiger Subdienstleister)
Archivierung, Akten-/Datenvernichtung
© E-Commerce 2014
ARGE DATEN
Pflichten des Dienstleisters II (§ 11 + § 26)
(B) gesetzliche Verpflichtungen (Fortsetzung)
- Maßnahmen zur Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers setzen (im Vernichtungsbereich eher zweitrangig, bei Archivierung wichtig)
- nach Ende der Dienstleistung Unterlagen, die Daten enthalten an Auftraggeber zu übergeben (wird bei Vernichtung nicht zutreffend, da keine Daten mehr vorhanden)
- Auftraggeber jene Informationen bereit stellen, die er zur Kontrolle der Einhaltung der Vereinbarung benötigt
- Erhält der Dienstleister irrtümlich ein Auskunftsbegehren, muss er unverzüglich den Auftraggeber verständigen, Frist von acht Wochen beginnt mit Einlangen des Begehrens beim Dienstleister!
Archivierung, Akten-/Datenvernichtung
© E-Commerce 2014
ARGE DATENARGE DATEN
Expertentreff - Open Space
Big Data AnalysenAusgangslage- Mehrere (Tourismus-)betriebe einer Region geben ihre Kundendatenbank zur gemeinsamen Analyse frei
- aus den gemeinsamen Kundendaten erstellt das Unternehmen X Kundenprofile für künftige Werbemaßnahmen
Fragestellungen- Ist ein derartiges System datenschutzkonform?
- Gibt es Vorgaben zu Anonymisierung / Pseudonymisierung?Bewertung
- Gemeinsame Verarbeitung der Kundendaten ist ein neuer Zweck
- personenbezogene Übermittlung nicht aus ursprünglichen Zwecken ableitbar, erfordert Zustimmung der Kunden
- fraglich ob Profilerstellung die erforderliche Zuordnungsgenauigkeit hat, Kunden müssten gemeinsame Kennung, etwa über eine Tourismuscard verwenden
© E-Commerce 2014
ARGE DATENARGE DATEN
Expertentreff - Open Space
Big Data Analysen IILösungsansatz- Kundendaten werden pseudonymisiert an Unternehmen X zu Zwecken der Marktforschung übermittelt (durch § 46 DSG 2000 privilegiert)
- für Unternehmen X handelt es sich um "indirekt" personenbezogene Daten, Verwendung nach § 8 Abs. 2 DSG 2000 zulässig, keine Meldepflichten
- Betrieb erhält Kundenprofilinformation mit Pseudonym verknüpft, kann diese zusätzliche Marketinginformation zu Person zuordnen (ist Teil der SA 022)
- auch in diesem Fall ist die Qualität des Kundenschlüssels das Problem, fehlerhafte Zuordnungen würden zu einem falschen Kundentyp führen
© E-Commerce 2014
ARGE DATENARGE DATEN
Expertentreff - Open Space
Zusendung vom Seniorenbund Ausgangslage
- Person erhält anläßlich seines 58. Geburtstages (!) Zusendung vom Seniorenbund
- Anfrage wie er zu seinem "Glück" komme bringt nur die Auskunft es sei alles OK
Fragestellungen
- Ist die Zusendung ohne Zustimmung des Betroffenen zulässig?
- Woher stammen die Daten?Ergebnis
- Postzusendungen sind auch ohne Zustimmung erlaubt, nur Adressverlage müssen Sperrliste der WKO beachten
- elektronische Kontaktformen erfordern vorherige Zustimmung
- Seniorenbund ist Teilorganisation der ÖVP und somit bezüglich Wählerevidenzdaten zu Wahlwerbezwecken privilegiert
© E-Commerce 2014
ARGE DATEN
Kontakt
Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20
Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]
Verein: http://www.argedaten.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
© E-Commerce 2014
ARGE DATEN
Ich danke für Ihre Aufmerksamkeit