© E-Commerce 2014 Expertentreff Datenschutz ARGE DATEN Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014 ARGE DATEN

© E-Commerce 2014

Expertentreff DatenschutzARGE DATEN

Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014

ARGE DATEN

© E-Commerce 2014

Teil I - Datenschutzfragen und Lösungen aus der Praxis

Teil III - Open Space

Teil II - Erfahrungen aus der Beratungspraxis der ARGE DATEN

Geplanter Tagesablauf

ARGE DATEN

© E-Commerce 2014

Datenverarbeitungsregister (DVR)-Online

Wien, Hotel Schönbrunn, 26. November 2014

ARGE DATEN

© E-Commerce 2014

ARGE DATEN

Zweck des DVRInformation der Betroffenen (§ 16 DSG 2000 – Art. 18 DatenschutzRL)

Information spielt eine zentrale Rolle im Datenschutzrecht – Betroffene haben das Recht zu wissen was mit ihren Daten geschieht!

Grundsätzliche Meldepflicht für sämtliche Datenanwendungen (§ 17 DSG 2000)

Ausnahmen bei:- veröffentlichten Daten / öffentlich

einsehbaren Registern- indirekt personenbezogenen Daten- persönlichen, familiären oder

publizistischen Zwecken- Standardanwendungen (Standard- und

Muster-Verordnung)

DVR – Wozu? und Warum?

© E-Commerce 2014

ARGE DATEN

DVR-Online - Zugang

https://www.usp.gv.at/

Unternehmen / Vereine

https://dvr.dsb.gv.at/

DVR-Online Direkteinstieg

https://www.help.gv.at/

Bürger

Behörden

http://reference.e-government.gv.at/

Zugang zum DVR-Online

© E-Commerce 2014

ARGE DATEN

https://www.usp.gv.at/

Unternehmen / Vereine

https://dvr.dsb.gv.at/

DVR-Online

Steuerpflichtige

https://finanzonline.bmf.gv.at

Über FinanzOnline ist ein DVR-Online

Zugang mittels Benutzername und Passwort möglich.

Zugang zu DVR-Online

mittels FinanzOnline

DVR-Online - Zugang

© E-Commerce 2014

ARGE DATEN

DVR-Online - Vertretungen

DVR-Online Vollmachten

Unternehmen & Vereine- Nur im Firmenbuch bzw. im Vereinsregister eingetragene Personen erhalten unmittelbar Zugang zu DVR-Online!

- Diese können über das Unternehmensserviceportal bzw. das Stammzahlenregister (http://stammzahlenregister.gv.at) weitere Personen bevollmächtigen.

Berufsmäßige Parteienvertreter- Mittels elektronischem Berufsausweis ist die Vertretung jeder natürlichen oder juristischen Person möglich.

Natürliche Personen-Können im Stammzahlenregister Vertreter bevollmächtigen.

© E-Commerce 2014

Anonymisierung von DatenVermeidung datenschutzrechtlicher Fallen

Hans G. Zeger, ARGE DATENWien, Hotel Schönbrunn, 26. November 2014

ARGE DATEN

© E-Commerce 2014

ARGE DATENARGE DATEN

Typische Fragestellungen zur Datenverwendung

- Es ist eine Urlaubsstatistik zu erstellen, bei der je Abteilung dargestellt wird in welchen Monaten wieviel Urlaub verbraucht wurde

- Es ist eine Urlaubsstatistik zu erstellen, bei der der Urlaubsverbrauch jedes Mitarbeiters in den letzten 10 Jahren dargestellt wird

- Es ist eine Statistik bezüglich der Qualifikationen aller Führungskräfte im Konzern anzufertigen, gegliedert je Tochter / Abteilung / Kostenstelle

- Es ist eine Statistik bezüglich des Einkommens aller Führungskräfte im Konzern anzufertigen, gegliedert je Tochter / Abteilung / Kostenstelle

- Es ist eine Unfall-/Krankenstatistik gegliedert nach Branchen/Unternehmen anzulegen

- Es werden alle Befunddaten von Patienten für eine Langzeitstudie, gespeichert, aber nicht der Name des Patienten

Anonymisierung von Daten

© E-Commerce 2014


Typische Fragestellungen zur Datenverwendung II

- Ein Konzern erstellt ein zentrales Mitarbeiterverzeichnis mit Gehalts-, Leistungs- und Organisationsdaten, das jedoch keinen Namen, sondern die Zugangskennung zum IT-System als Schlüssel verwendet

Welche datenschutzrechtliche Konsequenzen ergeben sich aus diesen Fragen?


© E-Commerce 2014


Datenschutzrechtliche Einordnung

- das DSG 2000 regelt nur die Verwendung personenbezogener Daten von Betroffenen durch Auftraggeber

- unter Geheimhaltung fallen alle personenbezogene Daten unabhängig von ihrer Verarbeitungsform (§ 1 DSG 2000)

- werden Daten automatisiert oder manuell in Form einer Datei ("strukturiert") verwendet, muss die Verwendung einem eindeutigen Zweck folgen (§ 6 DSG 2000)

- werden Daten zur Erreichung eines bestimmten Zweckes verwendet sind zusätzlich Melde- und Genehmigungsbestimmungen zu beachten (u.a. §§ 12f, §§ 16ff DSG 2000)

- Verwendung umfasst jede Handhabung personenbezogener Daten, auch deren Ermittlung (und sei es nur zum Zweck der Anonymisierung, § 4 DSG Z 8-12 2000)

- Daten sind dann personenbezogen, wenn die faktische Zuordnung zu einer Person möglich ist (u.U. auch mit großem Aufwand oder auf rechtswidrige Weise, § 4 Z 1 DSG 2000)


© E-Commerce 2014

ARGE DATEN

DSG 2000 § 4 Z 1 "personenbezogene Daten""Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

DSG 2000 § 4 Z 3 "Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"


ARGE DATEN

© E-Commerce 2014

ARGE DATEN

DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"

DSG 2000 § 4 Z 8 "Verwenden von Daten""jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"

DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"

DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"


ARGE DATEN

© E-Commerce 2014

ARGE DATEN

Personenbezug wird beschränkt

DSG 2000 § 4 Z 1 "nur indirekt personenbezogen""... sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;"

Personenbezug erfordert rechtlich zulässige Identifikationsmittel

DSG 2000 § 46 Abs. 1 "keine personenbezogenen Ergebnisse zum Ziel""Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die ..."

Personenbezug erfordert Auswertung mit Identifikation als Ziel


ARGE DATEN

© E-Commerce 2014

Verwendung von Daten für Wissenschaftund Forschung (§ 46)

- Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind

- effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend

Folgende Daten dürfen verwendet werden:- öffentlich zugängliche Daten (Abs. 1 Z 1)

- Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2)

- indirekt personenbezogene Daten (Abs. 1 Z 3)

- gemäss gesetzlicher Vorschriften (Abs. 2 Z 1)

- mit Zustimmung des Betroffenen (Abs. 2 Z 2)

- Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3)


ARGE DATEN

© E-Commerce 2014

ARGE DATEN

Personenbezug wird beschränkt II

DSK K121.036/0014-DSK/2005 "Videoaufzeichnung ohne identifizierende Absicht""... liegt eine Verwendung von „personenbezogenen Daten“ im Sinne des § 4 Z 1 DSG 2000 bei Bildaufzeichnungen nur dann vor, wenn sie in der Absicht geschieht, die darauf vorhandenen Personen zu identifizieren, wobei es genügt, wenn diese Absicht nur für bestimmte Fälle und nicht durchgängig besteht; ..."

Personenbezug erfordert Ermitlung mit der Absicht der Identifikation

Auch im Zusammenhang mit Baustellenkameras sieht die DSB die Interessen der Öffentlichkeit, freie Meinungsäußerung und Vorteile der Lieferanten (Wetterbeobachtung) höher als die Schutzinteressen der Betroffenen


ARGE DATEN

© E-Commerce 2014

DSK K213.180/0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse")

Ausgangslage- Sozialversicherungsanstalt analysiert die

Krankenstandsverteilung von Unternehmen - Beschränkt Analyse auf Unternehmen mit mehr als 50 MA- Datenquelle sind die Krankenstandsmeldungen der Ärzte- Auswertung erfolgt nach Unternehmen, Geschlecht,

Diagnosecode- Rechtsgrundlage: § 116 Abs. 4 ASVG "Erforschung von

Krankheits- bzw. Unfallursachen"- anonymisierte Daten werden an "interessierte" Unternehmen

weiter gegeben, Übermittlung diene der betrieblichen Gesundheitsförderung

ARGE DATEN


© E-Commerce 2014

DSK K213.180/0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") II

Konsequenzen- "Erforschung" ist ein anderer Zweck als Abrechnung- Daten werden personenbezogen für neuen Zweck "ermittelt"- Datenanwendung grundsätzlich zulässig, aber meldepflichtig

Problemstellung- Diagnosedaten sind zwar bei Sozialversicherung bekannt, nicht

beim Unternehmen- DVR-Meldung von 2010 registriert zwar Auswertung

("Anonymisierung") bei Sozialversicherung, nicht aber Übermittlung an Unternehmen

- auch bei 50 MA kann durch spezielle Konstellationen das Unternehmen von den statistischen Daten auf bestimmte Mitarbeiter rückschließen

ARGE DATEN


© E-Commerce 2014

DSK K213.180/0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") III

Empfehlungen der DSK- wirksame Anonymisierung gefordert- nicht alle Kranheitsarten sind sinnvollerweise mit betrieblicher

Vorsorge in Verbindung zu bringen, Auswertungen und übermittelte Diagnosearten sind daher an Betriebsart (etwa Bauwesen, Landwirtschaft, ...) anzupassen

- bei Bedarf sind männlich / weiblich zusammen zu fassen- Zulässigkeit ergibt sich auch aus § 46 DSG 2000- Diagnosen dürfen nur dann übermittelt werden, wenn mehr als

5 Mitarbeiter betroffen sind- beruft sich auf VfGH VfSlg. 12.228/1989: generelle

Veröffentlichungspflicht statistischer Erhebungen ist verfassungswidrig

Konsequenz- Änderung der DVR-Meldung in den Datenarten- DVR-Meldung enthält nunmehr auch Übermittlung an

UnternehmenARGE DATEN


© E-Commerce 2014

DVR-Meldung SV-Hauptverband 0024279/021("Befundblätter der Vorsorgeuntersuchung VU")

Ausgangslage- Im Zuge der Vorsorgeuntersuchungen werden Befunddaten

personenbezogen an den Hauptverband der Sozialversicherungen übermittelt (manuell/elektronisch)

- Rechtsgrundlage sind diverse Bestimmungen des ASVG, GSVG, ... + interne Richtlinien des HV

- Befunddaten sind sensible Daten im Sinne des DSG 2000- VU-Daten werden zur Abrechnung und zur Evaluation der

Vorsorgeuntersuchungen verwendet (zwei verschiedene Zwecke)

- Bestimmungen sehen jährliche Statistiken vor, § 31 Abs. 4 Z 10 ASVG bestimmt HV als Pseudonymisierungsstelle ("Dienstleister")

- eine personenbezogene Speicherung der Befunddaten lässt sich aus den ASVG-Bestimmungen (+ verwandte) nicht ableiten

- Qualitätskriterien zur Anonymisierung werden nicht vorgegeben

ARGE DATEN


© E-Commerce 2014

DVR-Meldung SV-Hauptverband 0024279/021("Befundblätter der Vorsorgeuntersuchung VU") II

Probleme- die Verrechnung erfolgt durch die zuständige SV (z.B. WGKK

0023957/013 KOSTENABRECHNUNG IM LEISTUNGSWESEN)Daten sind beim HV eigentlich am "falschen" Ort

- Verrechnungsdaten werden personenbezogen an SV übermittelt

- auch das Ermitteln von Befunddaten zum Zweck der Pseudonymisierung ist eine Datenanwendung iS des DSG 2000

- HV sieht sich anfänglich bloß als Dienstleister der Ärzte (Durchführen der Pseudonymisierung) und der SV (Aufbereiten der Abrechnungsdaten)

- HV sah daher keine Meldeverpflichtung- Meldung wurde "verspätet" 12/2005 eingebracht und 5/2006

mit Auflagen genehmigtARGE DATEN


© E-Commerce 2014

DVR-Meldung SV-Hauptverband 0024279/021("Befundblätter der Vorsorgeuntersuchung VU") III

Entscheidung DSK- genehmigt Datenanwendung mit Auflagen- Befunddaten zum Zweck der Verrechnung dürfen nur maximal

ein Monat nach Einlangen personenbezogen gespeichert werden- Löschung muss nach einem Monat automatisiert erfolgen- die sonstigen Daten der Vorsorgeuntersuchung dürfen nur

pseudonymisiert beim HV verwendet werden (etwa für statistische Auswertungen)

- es wird sichere Aufbewahrung verlangt ("vor dem Zugriff Unbefugter sicher geschützt")

Konsequenzen- Verbot der personenbezogenen Verwendung der Daten macht

aus den "pseudonymen" Daten für HV indirekt personenbezogene Daten

- HV hat 2013 weitere Pseudonymisierungsverarbeitungen gemeldet

- generell gilt: auch pseudonymisierte Datenanwendungen fallen für "Pseudonymisierer" unter die Meldebestimmungen des DSG 2000

ARGE DATEN


© E-Commerce 2014


Antworten zu den Eingangs-Fragestellungen


Welche datenschutzrechtliche Konsequenzen ergeben sich aus diesen Fragen?

[1] liegt personenbezogene Datenanwendung vor?

[2] ist die Datenanwendung zulässig?

[3] liegt meldepflichtige Datenanwendung vor?

[4] liegt Erfordernis der Vorabkontrolle vor?

[5] beachten der Sicherheitsmaßnahmen gemäß § 14 DSG 2000

- Es ist eine Urlaubsstatistik zu erstellen, bei der je Abteilung dargestellt wird, in welchen Monaten wieviel Urlaub verbraucht wurde[1] keine personenbezogene Anwendung, wenn Abteilungen genügend groß ist (5 Mitarbeiter)[2] durch § 46 DSG 2000 privilegiert[3], [4] nicht zutreffend[5] ja beim Erzeugen der Statistik, da Basisdaten personenbezogen

© E-Commerce 2014


Antworten zu den Eingangs-Fragestellungen II


- Es ist eine Urlaubsstatistik zu erstellen, bei der der Urlaubsverbrauch jedes Mitarbeiters über die letzten 10 Jahre dargestellt wird[1] "Statistik" irreführend, ist personenbezogene Anwendung[2] muss begründet werden[3] vermutlich ja, da nicht für Personaladministration (SA002) erforderlich [4] nein, [5] ja

- Es ist eine Statistik bezüglich der Qualifikationen aller Führungskräfte im Konzern anzufertigen, zusammengefasst je Tochter / Abteilung / Kostenstelle[1] ob personenbezogene Anwendung vorliegt, hängt von der Detailierung ab, in der Regel eher ja[2] muss begründet werden[3] ja, SA002 und SA033 treffen nicht zu, wer meldepflichtig ist hängt davon ab, wo Statistik erstellt wird (Tochter / Zentrale)[4] in der Regel nicht zutreffend, [5] ja

© E-Commerce 2014


Antworten zu den Eingangs-Fragestellungen III


- Es ist eine Unfall-/Krankenstatistik gegliedert nach Branchen/Unternehmen anzulegen siehe DSK-Entscheidung TGKK

- Es ist eine Statistik bezüglich des Einkommens aller Führungskräfte im Konzern anzufertigen, zusammengefasst je Tochter / Abteilung / Kostenstelle[1] ob personenbezogene Anwendung vorliegt, hängt von der Detailierung ab, in der Regel eher ja[2] fraglich ob begründbar[3] ja, SA002 und SA033 treffen nicht zu, wer meldepflichtig ist hängt davon ab, wo Statistik erstellt wird (Tochter / Zentrale)[4] in der Regel nicht zutreffend, [5] ja

- Es werden alle Befunddaten von Patienten für eine Langzeitstudie, gespeichert, aber nicht der Name des Patienten siehe DSK-Entscheidung Hauptverband SV

© E-Commerce 2014


Antworten zu den Eingangs-Fragestellungen IV


- Ein Konzern erstellt ein zentrales Mitarbeiterverzeichnis mit Gehalts-, Leistungs- und Organisationsdaten, das jedoch keinen Namen, sondern die Zugangskennung zum IT-System als Schlüssel verwendet[1] Zugangskennung kann als Pseudonymisierungsschlüssel angesehen werden[2] muss begründet werden, § 46 DSG 2000 ist jedoch nicht zutreffend[3] für jede Tochter prüfen ob Zweck+Daten durch SA002 abgedeckt oder darüber hinausgehend, für Konzern keine Meldepflicht, da bei geeigneter Vereinbarung "indirekt" personenbezogene Daten[4] bei Tochter in der Regel nicht zutreffend, bei Konzern nicht zutreffend[5] ja, sowohl bei Tochter und Konzern, auch indirekt personenbezogene Daten sind sicherheitstechnisch wie sonstige personenbezogene Daten zu behandeln

© E-Commerce 2014

Weitergabe von KundendatenÜbermittlung an Behörden und private

Einrichtungen Hans G. Zeger, ARGE DATEN


ARGE DATEN

© E-Commerce 2014


Datenschutzrechtliche Stellung von Kundendaten- Kundenbeziehungen sind im Grundsatz vertraulich, fallen

daher unter die Bestimmungen des DSG 2000

- interne Verwendung von Kundendaten ergibt sich aus der Art der Geschäftsbeziehung (Vertrag), dazu ist keine gesonderte Datenschutzvereinbarung erforderlich, jedoch Informationspflicht zu Auftraggeber und Zweck der Datenverwendung (§ 24 DSG 2000)

- Verwendung (inkl. Übermittlung) durch/an Dritte die vertraglich erforderlich ist, ist durch § 8 Abs. 1 Z 4 DSG 2000 geregelt

- Veröffentlichung von Kundendaten (auch wenn nur mit Name und Adresse) als Referenz ist ein eigener Zweck (Marketing für eigene Zwecke) und bedarf der Zustimmung des Kunden

- sonstige Übermittlungen an Behörden oder Dritte bedürfen - der Zustimmung des Kunden oder- einer vertraglichen Vereinbarung oder- einer gesetzlichen Regelung oder- Daten sind "allgemein verfügbar"

Weitergabe von Kundendaten

© E-Commerce 2014


Datenschutzrechtliche Stellung von Kundendaten II


- selbst wenn Kunde "im Telefonbuch steht", ist die Tatsache Kunde zu sein, in der Regel nicht allgemein verfügbar

- auch die Weitergabe von Kundendaten an Gesellschafter ist eine Übermitlung an Dritte und bedarf einer rechtlichen Grundlage

Verpflichtung des Auftraggebers bei Auskunftswünschen

- Prüfung der Rechtsgrundlage

- Prüfung des Anfragenden (des berechtigten Empfängers)

- Prinzip der Minimalität der Auskunft

- Sichere Übermittlung der DatenWerden diese Verpflichtungen verabsäumt besteht Schadenersatzanspruch durch Kunden, u.a. § 33 DSG

2000

© E-Commerce 2014


Weitergabe an Behörden

- zahlreiche gesetzliche Bestimmungen sehen Weitergabe vor

Auswahl

- ZPO ("Zivilprozessordnung")

- StPO ("Strafprozessordnung")

- SPG ("Sicherheitspolizeigesetz")

- BAO ("Bundesabgabenordnung")

- ECG ("E-Commerce Gesetz")

- TKG 2003 ("Telekommunikationsgesetz")

- UrhG ("Urheberrechtsgesetz")


© E-Commerce 2014


ZPO ("Zivilprozessordnung")- Aussageverpflichtungen in Verfahren Dritter im

wesentlichen in §§ 320ff ZPO geregelt- Aussagepflicht besteht nur als Zeuge (Einvernahme bei

Gericht), jedoch keine Pflicht zur Urkundenvorlage- berufliche Verschwiegenheitsrechte haben Vorrang- Geheimhaltungsbestimmungen des DSG 2000 jedoch keine

Grundlage zur Aussageverweigerung- Aussageverweigerung zur Wahrung von Betriebs- oder

Geschäftsgeheimnissen des Auftraggebers möglich, muss im Einzelfall begründet werden

- Ladung muss genau den Einvernahmegegenstand beschreiben, Vorbereitung auf Einvernahme durch Einsicht in Kundendaten geboten und zulässig (ansonsten Neueinvernahme möglich)

- Unzulässig wäre das vorbeugende Mitnehmen/Vorlegen eines Kundenakts, die vorbeugende Erhebung oder Auswertung von Kundendaten, Auskünfte über den Ladungsgegenstand hinaus


© E-Commerce 2014


StPO ("Strafprozessordnung")- Anfrageberechtigt sind Staatsanwaltschaft oder

Sicherheitsbehörden- unterschiedliche Ermittlungsformen (§ 151 StPO)

- informelle Erkundungen (freiwillige Auskunft)- formelle Vernehmungen (verpflichtend)

- in allen Fällen ist auf amtliche Stellung hinzuweisen- berufliche oder sonstige Entschlagungsrechte bleiben

unberührt- im Falle der formellen Vernehmung kann eine Auskunft

dann verweigert werden, wenn es zu einem Eingriff in den höchstpersönlichen Lebensbereich des Kunden kommt (§ 158 Abs 1 Z 3 StPO)

- ansonsten sind auch sensible Daten zu beauskunften- im Falle informeller Erkundigungen sollte Auskunft über

vertrauliche Kundendaten generell verweigert werden (zulässig wäre sie höchstens bei nichtsensiblen Daten im überwiegenden Interesse des Auftraggebers/Dritter)


© E-Commerce 2014


StPO ("Strafprozessordnung") II- zulässig wäre auch die Sicherstellung von Beweisstücken,

bei IT Erstellung einer Kopie (§ 110 StPO)- gegen Sicherstellung ist Einspruch möglich, jedoch ohne

aufschiebende Wirkung (§ 106 StPO)- Sicherstellung bedarf Anordnung der Staatsanwaltschaft- Unterlagen müssen beweisrelevant sein oder müssen

beweisrelevante Spuren enthalten- Bedeutung für die konkrete Untersuchung muss

nachvollziehbar sein- umfassende Sonderreglungen für die Bekanntgabe von

Internet- und Telekomdaten (§ 135 StPO)- Möglichkeit eines Datenabgleichs nach § 141 StPO- Datenabgleich bedarf gerichtliche Genehmigung und

entsprechenden Beschluss (§ 142 StPO)- Datenabgleich derzeit nicht von praktischer Bedeutung


© E-Commerce 2014


SPG ("Sicherheitspolizeigesetz")- Anfrageberechtigt sind Sicherheitsbehörden- unterschiedliche Ermittlungsformen

- „formlose“ Auskunftsverlangen (freiwillig, § 34 SPG)- Erhebung personenbezogener Daten (verpflichtend, § 53 SPG)

Verarbeitungsvoraussetzungen- Ermittlung von sachdienlichen Hinweisen im Rahmen der

"ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1)Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab

- § 53 listet zulässige Verarbeitungen auf, u.a.Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2Abwehr gefährlicher Angriffe iS § 16 Abs. 2Zwecke der Fahnung iS § 24Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten EreignisBeschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig


© E-Commerce 2014

SPG - Regelung Ermittlungsstellen § 53- "Generalermächtigung": alle verfügbaren Quellen durch

Einsatz geeigneter Mittel, insbesondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4)

- Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3)Anwendungsfall: Abwehr krimineller Verbindungen ( § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung ( § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe ( § 53 Abs. 1 Z 3)Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund

- Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d)keine Auskunftsverweigerung vorgesehen


ARGE DATEN

© E-Commerce 2014

SPG - Regelung Ermittlungsstellen § 53 II- Verwendung von Bild- und Tondaten von öffentlichen und

privaten Rechtsträgern (§ 53 Abs. 5)Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit ( ??), erweiterte Gefahrenerforschung ( Abs. 1 Z 2a) und Fahndung iS § 24 ( Abs. 1 Z 5)Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören)

- detaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c)


ARGE DATEN

© E-Commerce 2014


BAO ("Bundesabgabenordnung")- Anfrageberechtigt sind Finanzbehörden- Möglichkeit des Auskunftsverlangens (§ 143 BAO) sowie

der förmlichen Zeugenladung (§ 91 BAO)- auch Nachschau ist möglich (§ 144 BAO)- umfasst Angaben zur Abgabeverpflichtung

(steuerrelevante Daten)- betrifft nicht nur eigene Abgabenverpflichtung, sondern

auch Abgabenverpflichtung Dritter (etwa der Kunden)- Auskunftspflicht besteht auch ohne „formelle

Zeugeneinvernahme“ (strenger als StPO)- Auskunft und Nachschau kann durch die Behörde gem. §

111 BAO durch Zwangsstrafen erzwungen werden- berufsmäßige Verschwiegenheitspflicht sehen die

Gesetzesbestimmungen nicht vor, Verweigerungsrecht jedoch bei Gefahr der Verletzung von Geschäftsgeheimnissen des Kunden oder des Auftraggebers


© E-Commerce 2014

Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (§ 18 ECG Abs. 2)

Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber

- Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3)

- dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4)

Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers,

mit dem Hostingvereinbarung abgeschlossen wurde

Gilt auch bei unentgeltlichen Diensten!ARGE DATEN

ECG ("E-Commerce Gesetz")


© E-Commerce 2014

Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003)- Name, akademischer Grad, Wohnadresse,

Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e)

- Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen

- schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich

ARGE DATEN


TKG 2003 ("Telekommunikationsgesetz")

© E-Commerce 2014

Auskunft an Notrufträger (§ 98 TKG 2003)- Name, akademischer Grad, Wohnadresse,

Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6)

- Standortdaten sind schon bei Rufaufbau bekannt zu geben- wenn aktuelle Standortdaten nicht feststellbar, dann auch

Auskunft über letzte bekannte Cell-ID- Auskunftserfordernis ist durch Notrufträger zu

dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen

ARGE DATEN


TKG 2003 ("Telekommunikationsgesetz") II

© E-Commerce 2014

Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen

Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG)

Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht)

2 Fragen des OGH an EuGH (17.11.2007 + Antwort EuGH LSG/Tele2, C-557/07, 19.2.2009):

- Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint?

- Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem die EU-Datenschutzrichtlinie entgegen?

JA

JA | NEIN | gesetzliche Regelung zulässig

ARGE DATEN


© E-Commerce 2014


Weitergabe an sonstige Dritte- Weitergabe an Dritte ohne "öffentliches Interesse" wird in der

Regel unzulässig sein, wenige Ausnahmen im ECG und UrhG (siehe oben)

- keine Auskunftsverpflichtungen gegenüber Anwälte, Inkassobüros, Wirtschaftsauskunftsdienste, ...

- im Gegenteil! Auskünfte an diese Einrichtungen können zu Datenschutzverletzung + Schadenersatzpflicht führen

- aber! Verurteilungen die auf Grund eines rechtswidrigen Verhaltens des Kunden und auf Basis von rechtswidriger Auskünfte des Auftraggebers erfolgen, führen zu keinem Schadenersatzanspruch!

- zulässige Sonderfälle für Übermittlung möglich

- Übermittlung von Kundendaten zu Zwecken der Forschung oder von Erhebungen im öffentlichen Interesse (§§ 46, 47 DSG 2000, Genehmigung der DSB erforderlich, Übermittlung freiwillig)

- Übermittlung pseudonymisierter Daten (sind für Empfänger indirekt personenbezogene Daten, Übermittlung freiwillig)


© E-Commerce 2014


Weitergabe an Vertreter des Kunden- Weitergabe an Vertreter des Kunden ist nicht als Übermittlung

zu klassifizieren

- Umfang ident den Auskunftsansprüchen des Kunden

- rechtlich einfach, jedoch ist beim Nachweis der Vertretereigenschaft ausreichende Sorgfalt anzuwenden

- Berufung auf Vertretung reicht nicht, auch nicht bei Rechtsanwälten oder Notaren, schriftliche Dokumentation der Vertretungseigenschaft empfohlen

- Vorbeugende Auskunftsregeln schaffen, etwa:- nur schriftliche Auskünfte- Auskunft in Form von Rückmeldung nur an intern dokumentierte Kontatadressen (Post, Telefon, Fax, E-Mail, ...)- Verwendung von vertraulichen Kennungen als Nachweis des Auskunftsanspruchs


© E-Commerce 2014


Empfehlungen an Mitarbeiter- Grundsätzlich kann jeder Mitarbeiter (nicht nur Support,

Hotline, ...) von einem Auskunftswunsch "überrascht" werden

- Sensibilisierung von besonderen Mitarbeitergruppen, wie Telefonzentrale, Verkauf, Posteingangsstellen, ... wichtig

- Sensibilisierung, dass auch "einfache" Anfragen zu einer Datenschutzverletzung führen können ("Ist XY Kunde bei Ihnen?")

- Klare Zuständigkeiten schaffen und laufend kommunizieren

- für Standardfälle einfache Regeln schaffen, nicht "alles" auf Rechtsabteilungen oder Geschäftsführungen delegieren

- Mitarbeiter trainieren Auskunftswünsche strukturiert zu erfassen, WWWW-PRINZIP: Wer möchte Welche Daten über Welche Person Warum wissen?

- Nur tatsächlich angefragtes (sofern berechtigt) beauskunften

- Auskunft nur über sichere Übertragungswege

- Jeden Auskunftswunsch (auch unberechtigte) dokumentieren


© E-Commerce 2014


Empfehlungen an Auftraggeber

- haben das Minimalitätsgebot nach § 6 DSG 2000 bei der Verwendung von Kundendaten zu beachten

- "überflüssige" Kundendaten sind nach § 27 DSG 2000 zu löschen

- Auskunftsverpflichtungen (StPO, SPG, BAO) beziehen sich auf die vorhandene Daten, unabhängig davon ob sie rechtmäßig (iS DSG 2000) verwendet werden

- "Rechtswidrigkeit" der Daten für sich genommen, begründet noch keinen Verweigerungsgrund, sind jedoch Daten nicht vorhanden, können sie nicht beauskunftet werden

- sich auf Auskunftswünsche vorbereiten, teilweise zeitkritisch

- sich um sichere Übertragungswege kümmern


© E-Commerce 2014

DSK-Entscheidung zur IP-Adresse(Empfehlung K213.000/0005-DSK/2006 29.9.2006)

Ausgangslage

Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte.

Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte

DSK-Empfehlung

- IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten)

- bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden

- die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässigARGE DATEN


© E-Commerce 2014

Aufbewahrungsdauer bei FlatRate-DatenStellungnahme Art. 29-Gruppe WP69 29.1.2003

- werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden

- auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen)

- einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer

- für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer

Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig

ARGE DATEN


© E-Commerce 2014

Software und Datenschutzdatenschutzrechtliche Verpflichtung bei

SoftwareproduktenHans G. Zeger, ARGE DATEN


ARGE DATEN

© E-Commerce 2014


Software und Datenschutz

Was ist Software im Lichte des Datenschutzes?- DSG 2000 ist technikneutral formuliert, umfasst sowohl automatisierte Datenverarbeitung, als auch manuelle Dateien

- Software wird im DSG 2000 nicht ausdrücklich erwähnt, entscheidend für eine zulässige Datenverarbeitung ist das Bestehen eines berechtigten Zweckes

Fragen- Darf Software eingesetzt werden die offensichtlich datenschutzwidrige Datenfelder enthält / Auswertungen erlaubt?Beispiele: HR-Software mit Feldern zu detaillierten Gesundheitsangaben der Mitarbeiter, Spähsoftware mit Key-Loggerfunktion, ...

- Wer ist für eine rechtskonforme Funktionalität verantwortlich?

© E-Commerce 2014



Voraussetzungen zum Software-Einsatz- Software muss "sicher" sein, d.h. sie muss geeignet sein die Bestimmungen des § 14 DSG 2000 zu erfüllen:- Protokollierungsmöglichkeit- Zugriffsschutz- Aufgabentrennung

- Sichehreits-Maßnahmen müssen nicht zwangsläufig technisch realisiert werden

- es kann weiterreichende zusätzliche einzelgesetzliche Bestimmungen geben, etwa: Verschlüsselungsverpflichtung bei Videoaufzeichnung (SA032), verschlüsselte Datenübertragung bei Gesundheitsdaten durch GDA (GTelG), Auflagen der DSB, ...

- Software, denen diese Funktionalität fehlt, darf nicht verwendet werden

- Software darf nicht StGB-Bestimmungen widersprechen: Missbrauch von Computerprogrammen oder Zugangsdaten (§ 126c StGB) Cracker-Tools

© E-Commerce 2014



DS-Empfehlungen zu Software- für Funktionalität ist immer Auftraggeber verantwortlich, ebenso für die Erfüllung der Sicherheitsmaßnahmen

- Software, die nicht DSG-konform verwendet werden kann, darf nicht eingesetzt werden

- Software, die sowohl DSG-konform, als auch Nicht-DSG-konform verwendet werden kann, ist so einzusetzen, dass die nicht konformen Teile deaktiviert sind (kann technisch oder organisatorisch erfolgen)

- im Zusammenhang mit Betriebsvereinbarungen ist immer die tatsächlich technisch installierte Software zu betrachten, nicht die theoretisch mögliche Funktionalität (OGH 8ObA97/03b)

© E-Commerce 2014



Konsequenzen für Software-Anbieter- es kann eine Entscheidungshilfe darstellen, wenn der Anbieter Informationen zu Meldepflichten und Einsatzbedingungen gibt, verpflichtet ist er dazu nicht

- es ist irreführend damit zu werben, eine Software an sich sei "datenschutzkonform"

- eine Datensschutzprüfung ("Gütesiegel", "Audit") von Software ist möglich und sinnvoll, muss aber immer die konkrete Einsatzsituation inklusive der zulässigen Zwecke beschreiben

- derzeit gibt es (noch) keine verbindlichen Datenschutz-Auditverfahren für Software

© E-Commerce 2014

Verwendung persönlicher MerkmaleDarf der Arbeitgeber den Einsatz

persönlicher Merkmale verlangen?Hans G. Zeger, ARGE DATEN


ARGE DATEN

© E-Commerce 2014


Verwendung persönlicher Merkmale

Was sind persönliche Merkmale?- jedenfalls biometrische Daten, wie Fingerabdruck, Iris, Handvenen, DNA, persönliche Unterschrift, ...

- sonstige Angaben, die zu ausschließlich privaten Zwecken zugeordnet werden, etwa Zugangskennung zum privaten Bankkonto, privater Finanz-Online-Zugang, ...

- sonstige Hilfsmittel, die zur privaten Verwendung vorgesehen sind: Bürgerkarte auf E-Card, private Bankomatkarte, ...

- alle diese Merkmale fallen unter DSG 2000 und können (etwa bei DNA oder Iris-Daten) sogar sensible Daten umfassen

Problemstellung- in der betrieblichen Praxis kann es erforderlich sein, persönliche Merkmale zur Steuerung von (IT-)Systemen zu verwenden

- Beispiele: Zutritt zu Bio-Labors mittels Iris-Scan, Venenscan bei Piloten, Anmeldung mit Bürgerkarte bei USP, DVR-Online, ...

- Kann ein Mitarbeiter verpflichtet werden persönliche Merkmale aus betriebsinternen Gründen bereit zu stellen?

© E-Commerce 2014



Verwendung nicht grundsätzlich ausgeschlossen- manche Verwendungen durch Gesetzgeber privilegiert bzw. sogar vorausgesetzt: etwa die eigenhändige Unterschrift unter den Arbeitsvertrag

- in sonstigen Fällen ist nach Erforderlichkeit, Verhältnismäßigkeit und Zumutbarkeit vorzugehen

- Entscheidung OGH 9 ObA 109/06d ("Fingerabdruck zur Zeiterfassung") setzt sich ausführlich mit dieser Abschätzung auseinander

- Entscheidung erwähnt ausdrücklich die Zulässigkeit des "Fingerabdrucks" im Zusammenhang mit Hochsicherheitsbereichen

- Entscheidung lehnt "Fingerabdruck" bei Zeiterfassung ab, weil nicht erforderlich und gleichwertige Alternativen existieren

© E-Commerce 2014



Konsequenz- es kann vom Mitarbeiter nicht durchsetzbar verlangt werden, seine persönliche "Bürgerkarte" oder seinen persönlichen Finanz-Online-Zugang für betriebliche Zwecke zu nutzen, es gibt dazu für die Unternehmen Alternativen

- möglich ist jedoch eine freiwillige Zustimmung iS § 4 Z 14 DSG 2000 oder eine arbeitsvertragliche Vereinbarung

- in Betrieben mit Betriebsrat/Personalvertretung wird zusätzlich eine BV zum Umfang der Datenverwendung erforderlich sein

- Mehrkosten wegen der Beschaffung von zusätzlichen Berechtigungen (etwa Firmen-Bürgerkarten) sind kein Argument um den Einsatz persönlicher Merkmale zu erzwingen

Ergebnis- der Einsatz persönlicher Merkmale sollte auf wenige tatsächliche Hochsicherheitsbereiche beschränkt werden

- betriebliche Abläufe ausschließlich an persönliche Merkmale bestimmter Mitarbeiter zu binden kann zu Problemen führen

© E-Commerce 2014



Fallbeispiel: Fingerprint von KundenSachverhalt

- Ein Unternehmen (Glücksspiel) möchte Kunden mittels Fingerprint (statt Magnetkarte) identifizieren.

Analyse- grundsätzlich zulässig (Vertragsfreiheit), Fingerabdruck ist zwar invasiver Eingriff, aber wohl noch zulässig

- Glücksspielgesetz (GSpG) gibt strenge Identifikationsauflagen vor (inkl. Sperrmöglichkeit von Spielern)

- Unternehmen ist gemäß GSpG verpflichtet sicherzustellen, dass Identifikation nicht missbraucht oder umgangen wird

- Fingerprintscan zulässig, es ist jedoch zu bedenken, dass Fingerprints relativ unzuverlässig sind (FAR und FRR beachten)

- Scan muss so gestaltet werden, dass Daten nicht für andere Zwecke genutzt werden können

- beste Lösung zur Sicherung der Privatsphäre und den Sicherheitsvorgaben des GSpG ist Kombination mit Karte

© E-Commerce 2014

Expertentreff - Open SpaceHans G. Zeger, ARGE DATEN


ARGE DATEN

© E-Commerce 2014

Shared Services

Archivierung, Akten-/Datenvernichtung

Big Data Analysen

Zusendung vom Seniorenbund

Themen Open Space

ARGE DATEN

© E-Commerce 2014

Was ist Shared-Service?

- technisch/organisatorisch: Nutzung fremder Infrastruktur

- im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten

Shared-Service

ARGE DATEN

© E-Commerce 2014


Meldepflichten bei Shared-ServiceAusgangslage

- Unternehmen möchte einzelne Datenverarbeitungsschritte (Archivierung, HR, Auftragsabwicklung, ...) in einem Shared-Service auslagern

- Mehrere österreichische Unternehmen verwenden dieselbe Infrastruktur

- Mehrere österreichische Unternehmen nutzen dieselben Daten

Fragestellungen

- Welche Meldepflichten ergeben sich?

- Ist eine Betriebsvereinbarung abzuschließen?

- Welche "Erleichterungen" ergeben sich für die österreichischen Unternehmen?

Shared-Service

© E-Commerce 2014


Meldepflichten bei Shared-Service IIKonsequenzen internationaler Datenverkehr

- garantiert das Shared-Service die Verarbeitung der Daten ausschließlich innerhalb der EU, dann ergeben sich keine Meldepflichten

- bietet das Shared-Service seine Dienste weltweit gemäß EU-Standardvertragsklauseln an, dann ist der Einsatz (internationaler Datenverkehr) bei der DSB genehmigungspflichtig - ist der Vertrag von der Liste der Verarbeiter unterfertigt, ist die Genehmigung kein Problem

- kann das Shared-Service keine verbindlichen vertraglichen Zusagen machen, wo er die personenbezogenen Daten tatsächlich verarbeitet, wird die DSB keine Genehmigung erteilen

Shared-Service

© E-Commerce 2014


Meldepflichten bei Shared-Service IIIKonsequenzen gemeinsame Infrastruktur

- verwenden mehrere Konzernunternehmen zwar dieselbe IT-Plattform, jedes Unternehmen kann aber nur auf die eigenen Daten zugreifen, ergeben sich keine weiteren Genehmigungsverpflichtungen

- verwenden mehrere österreichische Konzernunternehmen dieselben Daten (z.B. Mitarbeiterdaten, Bewerberdaten), dann liegt ein Informationsverbundsystem vor:werden mehr Daten als in der Standardanwendung SA 033 verarbeitet ist der Betreiber (Shared-Service) der DSB zu meldendie Datenanwendung selbst (inkl. Übermittlung an Konzernunternehmen) ist von jedem österreichischen Unternehmen als Informationsverbundsystem genehmigen zu lassen

- verwenden ein österreichisches und mehrere ausländische Konzernunternehmen dieselben Daten, dann liegt kein Informationsverbundsystem vor, es ist nur die Übermittlung der Daten an Drittunternehmen bei der DSB (DVR) zu melden

Shared-Service

© E-Commerce 2014


Meldepflichten bei Shared-Service IVsonstige Konsequenzen

- aus dem Einsatz von Shared-Service alleine ergibt sich keine Verpflichtung eine BV (Betriebsvereinbarung) abzuschließen

- es kann jedoch die Shared-Service - Dienstleistung über bestehende Datenverarbeitungen hinausgehen, dann könnte es erforderlich sein eine BV abzuschließen

- abgesehen von den "Konzernerleichterungen" die sich aus SA 033 ergeben, gibt es keine Konzernerleichterungen bei Shared-Services

Auftraggeber bleibt verantwortlich, egal wie Shared-Service organisiert ist, auch bei

Heranziehung von Sub- und Sub-Sub-Dienstleistern

Shared-Service

© E-Commerce 2014

ARGE DATEN

DSG 2000 regelt jede Verwendung personenbezogener Daten

Unternehmen A als Auftraggeber

Verwendung für berechtigten Zweck,

z.B. speichern, ändern, sortieren,

auswerten, ausdrucken,

lesen, ...

(1) Unternehmen A ist Auftraggeber eines anderen berechtigten Zweckes

berechtigter Zweck fällt

weg

(2) Unternehmen A hat keinen weiteren berechtigten Zweck, aber Archivierungspflichten

weitere Verwendung

Archivierung ist

Datenverwendung iS DSG

2000

(3) Unternehmen A hat weder weiteren berechtigten Zweck, noch Archivierungspflichten

Löschung aller Daten, ist

Datenverwendung iS DSG

2000

Ermittlung von Daten für

berechtigten Zweck

Übermittlung

Unternehmen B ist Auftraggeber für eigene Zwecke

(2) und (3) sind Verpflichtungen des Unternehmens A, er kann sich aber eines Dienstleisters bedienen

Überlassen ist Datenverwendung iS DSG 2000


© E-Commerce 2014

ARGE DATEN


Dienstleister im Sinne des DSG 2000 (§§ 10f)- Dienstleistung liegt vor, wenn ein Verantwortlicher

jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut

- Geeignete Vereinbarungen sind zu treffen: Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)

- Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]

- Subdienstleister nur mit Billigung des Auftraggebers

Archivierung, Datenvernichtung bzw. -löschung ist eine derartige Dienstleistung

© E-Commerce 2014

ARGE DATEN

Pflichten des Dienstleisters (§ 11)

(A) Vertragliche Verpflichtungen- werden in der Regel die zulässigen Verwendungen der

Daten beschreiben, z.B. Mindestkriterien bei der Datenträgerzerstörung, Beschreibung der Vernichtungsabläufe, Mindestkriterien zum Datenträgertransport, Deponierung usw.

(B) gesetzliche Verpflichtungen- nur auftragsgemäße Datenverwendung- treffen ausreichender Sicherheitsmaßnahmen nach § 14

DSG 2000- Mitarbeiter zur Datenverschiegenheit verpflichten (siehe

§ 15)- Subdienstleister nur mit Billigung des Auftraggbers

heranziehen (Achtung! Schon ein Spediteur, der Datenträger abholt wäre ein derartiger Subdienstleister)


© E-Commerce 2014

ARGE DATEN

Pflichten des Dienstleisters II (§ 11 + § 26)

(B) gesetzliche Verpflichtungen (Fortsetzung)

- Maßnahmen zur Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers setzen (im Vernichtungsbereich eher zweitrangig, bei Archivierung wichtig)

- nach Ende der Dienstleistung Unterlagen, die Daten enthalten an Auftraggeber zu übergeben (wird bei Vernichtung nicht zutreffend, da keine Daten mehr vorhanden)

- Auftraggeber jene Informationen bereit stellen, die er zur Kontrolle der Einhaltung der Vereinbarung benötigt

- Erhält der Dienstleister irrtümlich ein Auskunftsbegehren, muss er unverzüglich den Auftraggeber verständigen, Frist von acht Wochen beginnt mit Einlangen des Begehrens beim Dienstleister!


© E-Commerce 2014


Expertentreff - Open Space

Big Data AnalysenAusgangslage- Mehrere (Tourismus-)betriebe einer Region geben ihre Kundendatenbank zur gemeinsamen Analyse frei

- aus den gemeinsamen Kundendaten erstellt das Unternehmen X Kundenprofile für künftige Werbemaßnahmen

Fragestellungen- Ist ein derartiges System datenschutzkonform?

- Gibt es Vorgaben zu Anonymisierung / Pseudonymisierung?Bewertung

- Gemeinsame Verarbeitung der Kundendaten ist ein neuer Zweck

- personenbezogene Übermittlung nicht aus ursprünglichen Zwecken ableitbar, erfordert Zustimmung der Kunden

- fraglich ob Profilerstellung die erforderliche Zuordnungsgenauigkeit hat, Kunden müssten gemeinsame Kennung, etwa über eine Tourismuscard verwenden

© E-Commerce 2014



Big Data Analysen IILösungsansatz- Kundendaten werden pseudonymisiert an Unternehmen X zu Zwecken der Marktforschung übermittelt (durch § 46 DSG 2000 privilegiert)

- für Unternehmen X handelt es sich um "indirekt" personenbezogene Daten, Verwendung nach § 8 Abs. 2 DSG 2000 zulässig, keine Meldepflichten

- Betrieb erhält Kundenprofilinformation mit Pseudonym verknüpft, kann diese zusätzliche Marketinginformation zu Person zuordnen (ist Teil der SA 022)

- auch in diesem Fall ist die Qualität des Kundenschlüssels das Problem, fehlerhafte Zuordnungen würden zu einem falschen Kundentyp führen

© E-Commerce 2014



Zusendung vom Seniorenbund Ausgangslage

- Person erhält anläßlich seines 58. Geburtstages (!) Zusendung vom Seniorenbund

- Anfrage wie er zu seinem "Glück" komme bringt nur die Auskunft es sei alles OK

Fragestellungen

- Ist die Zusendung ohne Zustimmung des Betroffenen zulässig?

- Woher stammen die Daten?Ergebnis

- Postzusendungen sind auch ohne Zustimmung erlaubt, nur Adressverlage müssen Sperrliste der WKO beachten

- elektronische Kontaktformen erfordern vorherige Zustimmung

- Seniorenbund ist Teilorganisation der ÖVP und somit bezüglich Wählerevidenzdaten zu Wahlwerbezwecken privilegiert

© E-Commerce 2014

ARGE DATEN

Kontakt

Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20

Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]

Verein: http://www.argedaten.at

Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at

© E-Commerce 2014

ARGE DATEN

Ich danke für Ihre Aufmerksamkeit

Documents

© E-Commerce 2014 Expertentreff Datenschutz ARGE DATEN Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014 ARGE DATEN