© Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben Hans

VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben © Hans G. Zeger 2003

Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben

Hans G. ZegerWien, TU-Wien SS03


privacy & security

Die Idee vom Datenschutz

Betroffenenrechte

Aufgaben des Datenverarbeiters

Sicherheit als Grundlage von privacy


Die Idee vom Datenschutz

privacy ( früher: Datenschutz )• Sicherung der freien Entscheidung, wer

welche Informationen über meine Person erhält.

• Die Menschen werden vor einem Übermaß an Datenerhebungen geschützt.

• Jede Datenverwendung muß sozial und rechtlich legitimiert sein

security/safety ( = Datensicherheit)• Die Daten werden vor der (nicht immer

freundlichen) Umwelt geschützt.


1958 EMRK in Österreich ratifiziert1958 EMRK in Österreich ratifiziert

1978 DSG78 verabschiedet1978 DSG78 verabschiedet1980 Inkrafttreten DSG781980 Inkrafttreten DSG78

1980 Gleichwertigkeitsverordnung1980 Gleichwertigkeitsverordnung

1981 Europaratsübereinkommen DS1981 Europaratsübereinkommen DS1981 OECD Empfehlung DS 1981 OECD Empfehlung DS

1987 DSG Novelle (Betroffenenrechte)1987 DSG Novelle (Betroffenenrechte)

Der Weg zum neuen Datenschutz


1988 Europaratsübereinkommen ratifiziert1988 Europaratsübereinkommen ratifiziert

1995 Verfassungsbestimmung zur DSK1995 Verfassungsbestimmung zur DSK1995 Inkrafttreten EU Richtlinie1995 Inkrafttreten EU Richtlinie

1998 Ende Umsetzungsfrist1998 Ende Umsetzungsfrist

1999 Beschlußfassung DSG20001999 Beschlußfassung DSG20001999 Verlautbarung DSG20001999 Verlautbarung DSG2000

1.1.2000 Inkrafttreten DSG 2000

???? Regelungen zu Biometrie & Videoüberwachung???? Regelungen zu Biometrie & Videoüberwachung

Der Weg zum neuen Datenschutz


DSG 2000 - Grundlagen

Umsetzung der EU-Richtlinie "Datenschutz" Nachfolge des "alten" DSG Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren

soll Privatsphäre und Informationsaustausch sichern



Ziele neuer Datenschutzregelungen:

Datenverarbeitungen sind allgegenwärtig

Datenverarbeitungen hat für die Betroffenen transparent zu sein

Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können Grundrechte gefährden

Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform

Schwerpunkt liegt in der Schaffung "fairer" Vereinbarungen mit Betroffenen


Umsetzungsstand in den EU Staaten

Vollständig umgesetzt

Nicht umgesetzt


Welches Datenschutzrecht ist anzuwenden?aus dem DSG2000 §3 (Verfassungsbestimmung)

EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat.

DSG2000 gilt nicht für den bloßen Datentransport durch Österreich

Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich

Welches Datenschutzrecht ist anzuwenden?aus dem DSG2000 §3 (Verfassungsbestimmung)

EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat.

DSG2000 gilt nicht für den bloßen Datentransport durch Österreich

Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich

EU-Richtlinie Anwendungsbereich


Betroffener in Österreich

Betroffener nicht in Österreich

in Österreich

DV-Anwendungin Österreich

Auftrag-geber

öDSG2000 öDSG2000

öDSG2000 öDSG2000

Ja

Nein, nicht EU

nicht in Österr.

aber EU

weder Österr.

noch EU

öDSG2000

EU-xDSGEU-xDSG

öDSG2000

öDSG2000 öDSG2000

Ja

Ja

Nein

Nein ??DSG ??DSG

EU-xDSG EU-xDSGNein, EU

EU-Richtlinie Anwendungsbereich



Grundsätzlich gilt die Geheimhaltung aller persönlicher DatenDSG2000 §1 (Verfassungsbestimmung)

Geheimhaltungsanspruch

Einschränkungen der Geheimhaltung

Subjektive Rechte

zweiteilige Rechtsdurchsetzung

Umfangreiche Entscheidungspraxis



Betroffenenrecht - Geheimhaltung (§1ff)

Achtung der Privatsphäre gem. Art. 8 EMRK"(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht..."

Einschränkungen möglich aufgrund- der Zustimmung des Betroffenen- lebenswichtiger Interessen des Betroffenen- von Gesetzen (Behörden)- Wahrung überwiegender Interessen Dritter



Entscheidungen zu DSG2000 §1 (I)

120.777/003-DSK/2002 ("SV-Auskunft")Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens

120.766/004-DSK/2002 ("Fahrtüchtigkeit")

Weitergabe Daten eine an Verkehrsbehörde

120.662/32-DSK/00 ("Lehrerliste")Weitergabe einer Lehrerliste an Postbediensteten

120.532/22-DSK/00 ("Autowrack")Weitergabe Daten eines Beschuldigten an lokale Zeitung



Entscheidungen zu DSG2000 §1 (II)

120.686/3-DSK/00 ("unstrukturierte Datensammlungen")

Grundrecht auf Geheimhaltung gilt grundsätzlich allen personenbezogenen Datensammlungen

120.622/14-DSK/00 ("Briefaushang")Aushang eines Briefes nicht grundsätzlich ein Geheimhaltungsbruch

120.681/8-DSK/00 ("Tratsch&Klatsch")Bloße Kenntnisnahme von geheimhaltungswürdigen Informationen noch kein GeheimnisbruchWichtig! Abgrenzung zur Datenermittlung!



"Daten" ("personenbezogene Daten")DSG2000 §4 Z1"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

Entscheidung DSK 120.616/16-DSK/00"Verwandtschaft und Wohnungsnutzung"Daten zu Verwandtschaft und Wohnungsnutzung fallen unter den Datenbegriff und können sogar in den Bereich 'sensible Daten' (Z2) fallen.



"sensible" Daten (DSG2000 §4 Z2)

Daten natürlicher Personen über

rassische und ethnische Herkunft

politische Meinung

Gewerkschaftszugehörigkeit

religiöse und philosophische Überzeugung

Gesundheit

Sexualleben

zusätzlich: "besonders schutzwürdige" Daten



Personenbezogene Daten

Indirekt personen-bezogene Daten

personenbezogene Daten

besonders schutzwürdige Daten

sensible Daten


Regelungen zu den "indirekt" personenbezogenen Daten(DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46)

DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus

• genehmigungsfreie Übermittlung ins Ausland

• kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch

• keine Meldepflicht, Registrierungspflicht

• Verwertbarkeit für wissenschaftliche Zwecke und Statistik

EU-Ansatz geht in entgegengesetzte Richtung

Regelungen zu den "indirekt" personenbezogenen Daten(DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46)

DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus

• genehmigungsfreie Übermittlung ins Ausland

• kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch

• keine Meldepflicht, Registrierungspflicht

• Verwertbarkeit für wissenschaftliche Zwecke und Statistik

EU-Ansatz geht in entgegengesetzte Richtung




"Auftraggeber" / Verantwortlicher einer Datenanwendung (DSG2000 §4 Z4)

"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft"

Entscheidung DSK 202.010/002-DSK/2001"Auftraggeber können auch sonstige Personengemeinschaften sein"


Wer ist ein Dienstleister?(DSG2000 §§ 4, 10, 11)

Es ist eine ausdrückliche Vereinbarung zu treffen

Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK,bei bestimmten Datenanwendungen

nur auftragsgemäße Verwendung der Daten

zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers

Wer ist ein Dienstleister?(DSG2000 §§ 4, 10, 11)

Es ist eine ausdrückliche Vereinbarung zu treffen

Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK,bei bestimmten Datenanwendungen

nur auftragsgemäße Verwendung der Daten

zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers




"Datei" (DSG2000 §4 Z6)

"strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind"

Entscheidung 6Ob148/00h"Abgrenzung Akten und Datei"

Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen.



,,Datenanwendung'' (früher: ,,Datenverarbeitung'')DSG2000 §4 Z7, §58

"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte"

DSG2000 kennt "besondere Datenanwendungen"

Entscheidung DSK 120.707/7-DSK/00"Urkunden und Aktensammlungen"

Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000

Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrecht (Personalakte)



"Übermitteln von Daten" (DSG2000 §4 Z12)

"die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"

Entscheidung DSK 120.656/16-DSK/00"technisch unabhängig"

Übermittlung ist unabhängig von der technischen Methode

Verschiedene Gesetze können unterschiedliche Regelungen enthalten, im DSG 2000 ist Übermittlung an Vorliegen einer 'Datenanwendung' geknüpft.



"Zustimmung" (DSG 2000 §4 Z14)

"die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"

Entscheidung OGH 6 Ob 179/02f ("CA-BA")

siehe auch: OGH 6 Ob 16/01y ("MOBILKOM")OGH 4Ob28/01y ("Creditanstalt")OGH 7 Ob 170/98w ("Friends-of-Merkur")



OGH 6 Ob 179/02f ("CA-BA")

Die kritisierten Datenschutz-Bestimmungen

- AGB's Z26 / Z27

- Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870

- Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen, ...)

- Entbindung vom Bankgeheimnis

Die wichtigsten Punkte der Entscheidung- Hinweis auf Widerruf wesentlicher Teil der Zustimmung

- besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen

- Entbindung vom Bankgeheimnis muß auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein

- Widerspruch zu Treu und Glauben (§6 DSG 2000)



Die wichtigsten BegriffeDie wichtigsten Begriffe

Verwenden von Daten

Z8

Übermitteln Verarbeiten

Z9

Z12

Daten-anwendung

Z7

Auftraggeber

Z4

ÜberlassenErmitteln

Z10 Z11

Dienstleister

Z5


Verwendung von Daten nach "Treu und Glauben" DSG2000 §6

Umsetzung der Datenschutzkonvention des Europarates

Verwendung nach Treu und Glauben (Abs. 1 Z1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2)

Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2)

Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2)

Verwendung von Daten nach "Treu und Glauben" DSG2000 §6

Umsetzung der Datenschutzkonvention des Europarates

Verwendung nach Treu und Glauben (Abs. 1 Z1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2)

Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2)

Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2)

DSG 2000 - Grundsätze


Verwendung von Daten nach "Treu und Glauben" II

Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3)

Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4)DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein

Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4)

Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5)

Verwendung von Daten nach "Treu und Glauben" II

Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3)

Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4)DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein

Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4)

Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5)

DSG 2000 - Grundsätze



Grundlage einer rechtmässigen Datenverwendung (§7ff)

Zweistufiges KonzeptEs muß eine Rechtsgrundlage für eine Datenanwendung geben (§7 Abs.1)

Es muß eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§7ff)

Musterbeispiele: Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91)

Risikodatenbank der Anästhesisten bezüglich von Komplikationen bei der Narkose bei chirurgischen Eingriffen.



Entscheidungen zu DSG2000 §7

120.694/4-DSK/00 ("Privatermittlungen")Vorliegen der Übermittlungsvoraussetzung führt nicht zum Recht Daten tatsächlich zu erhalten

120.657/8-DSK/00 ("Eigenwerbung")Zum Zwecke der "Eigenwerbung" dürfen auch Daten anderer Zwecke des Datenverarbeiters benutzt werden



Geheimhaltungsinteressen bei Datenverwendung (§8-nicht-sensible Daten, §9-sensible Daten)

Wann dürfen Daten verwendet werden?

(Auszug)

- Rechtsgrundlage / gesetzliche Verpflichtungen

- Zustimmung des Betroffenen

- zulässig veröffentliche Daten

- notwendige Voraussetzung

- überwiegende Interessen Dritter



Entscheidungen zu DSG2000 §8/9

202.007/004-DSK/2001 ("Einsichtnahme")Sind Daten auch nur lokal einsehbar, gelten sie als veröffentlicht

210.380/001-DSK/2001 ("Geburtsdatum")Zusätzliche Daten dürfen auf Briefstücken nur aus besonderen Gründen angebracht werden


Betroffenenrechte

[Recht auf Geheimhaltung (§1ff)]

Recht auf Auskunft (§26)

Recht auf Berichtigung und Löschung (§27)

Informationsrecht (§24)

Recht auf Widerspruch (§28)

Recht auf Widerruf (§8, 9)


DSG 2000 - Betroffenenrechte

Betroffenenrecht - Informationspflicht (§24)

Informationspflicht anläßlich Ermittlung

ZweckAuftraggeber

Spätestens zum Zeitpunkt der Übermittlung

umfaßt auch notwendige weitere Informationspflichten

Entfällt unter gewissen Bedingungen

Informationspflicht ist "Bringschuld" !



Betroffenenrecht - Auskunft I (§26)

Auskunft ist auf Verlangen zu geben (Abs. 1)

Auskunftsfrist sind 8 Wochen (Abs. 4)

Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)

ungerechtfertigter Aufwand ist zu vermeiden

begründete Auskunftsverweigerung ist möglich

Auskunftsrecht ist "Holschuld" !



Betroffenenrecht - Auskunft II (§26)

Auftraggeber hat Auskunft zu erteilen über

die verwendeten Daten in allgemein verständlicher Form

verfügbare Information über ihre Herkunft

allfällige Empfänger oder Empfängerkreise von Übermittlungen

Name und Adresse des Dienstleisters (muß vom Betroffenen extra verlangt werden)



Entscheidungen zu DSG2000 §26

120.790/010-DSK/2002 ("Mitwirkung")Mitwirkungspflicht inkludiert keine Beweislast

120.804/016-DSK/2002 ("Datengeheimnis")

Daten- und Bankgeheimnis sind keine ernsthaften Auskunftsverweigerungsgründe, gemeinsame Auskunftsbegehren sind möglich.

120.804/016-DSK/2002 ("Beschwerdefrist")

Beschwerde bei mangelhafter Auskunft kann nach Erteilung der Auskunft, noch vor Ablauf der 8-Wochenfrist eingebracht werden



Betroffenenrecht - Löschung/Richtigstellung (§27)

Richtigstellungspflicht des Auftraggebers

Frist ist 8 Wochen

betrifft auch unvollständige Daten

nicht benötigte und unzulässig verarbeitete Daten sind zu löschen

Beweislast beim Auftraggeber (mit Ausnahmen)

120.645/003-DSK/2002 ("KPA-Löschung")Daten, die den angestrebten Zweck nicht erfüllen, sind zu löschen



Betroffenenrecht - Widerspruch / Widerruf

Zustimmung zur Verwendung von Daten kann widerrufen werden (§8)

Widerspruch (§28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich

Widerspruch bei überwiegenden, schutzwürdigen Gründen

Widerspruch bei öffentlich zugänglichen Dateien



Beschwerdestellen

- DatenschutzkommissionIn allen Auskunftsfällen und für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen

- ZivilgerichtIn allen sonstigen Fällen, die durch das DSG 2000 geregelt sind

- Europäische KommissionFür alle Bereiche der EU-Richtlinie Datenschutz, die nicht von nationalen Gesetzen und Behörden abgedeckt sind


Sicherheit / Internet

Cybercrime-Bestimmungen

Spezifische Internetfragen

Sicherheitsbestimmungen (DSG 2000 §14)

Verschwiegenheitspflichten


DSG 2000 - Sicherheit

"alte" Strafbestimmungen u.a.

- §126a StGB Datenbeschädigung- §148a StGB Betrügerischer

Datenverarbeitungsmißbrauch

- §118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen

- §119 Verletzung des Telekommunikationsgeheimnisses- §122 Verletzung eines Geschäfts- oder

Betriebsgeheimnisses

"Amts"-Bestimmungen

- Schutz des Behörden"geheimnis" (StGB §§301, 302, 310)



Neue "cybercrime"-Bestimmungen (seit 1.10.2002)

- §118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"]

- §119a Missbräuchliches Abfangen von Daten- §126b Störung der Funktionsfähigkeit eines

Computersystems [DOS-Attacken]- §126c Missbrauch von Computerprogrammen oder

Zugangsdaten ["Cracken"]- §225a Datenfälschung

In Planung (??.??.????)- Aufbewahrungspflicht für Telekom- und

Internetdaten



Sicherheitsbestimmungen (§14)

eher allgemein

Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:

Stand der Technik entsprechend

wirtschaftlich vertretbar

angemessenes Schutzniveau muß erreicht werden

Auffällig ist das FEHLEN konkreter Sicherheitshinweise

keine Empfehlungen, keine Definitionen zum Stand der Technik, keine vorgeschriebenen Standards, kein freiwilliges Akkreditierungsverfahren



Maßnahmen zur Sicherheit

ausdrückliche Aufgabenverteilung

ausschließlich auftragsgemäße Datenverwendung

Belehrungspflicht der Mitarbeiter

Regelung der Zugriffs- und Zutrittsberechtigungen

Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten

Protokollierungspflicht

Dokumentationspflicht zur Kontrolle und Beweissicherung


Haftung bei fehlenden Datensicherheitsmaßnahmen

OGH Entscheidung (9 Ob A 182/90)

Sachverhalt:Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.

Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.

Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".




Protokollierungsanforderungen (§14)

Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)

Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)

Verwendungsbeschränkung der Protokolldaten (Abs. 4, 5)

Sicherheitsvorschriften müssen für Mitarbeiter jederzeit einschaubar sein (Abs. 6)


Arbeitsrechtliche Bestimmungen

Mitarbeiterdaten ArbVG kennt spezifische Informations-, Zustimmungs- und "ersetzbare" Zustimmungspflichten

• Eingriffe in Arbeitsautonomie als "berühren" der Menschenwürde zustimmungspflichtig

• "Überwachung" als verletzen der Menschenwürde verboten

Beispiele• Telefondatenaufzeichnung• Inhaltskontrolle von Mails• Video-Aufzeichnung• Kantinenabrechnung


Arbeitsrechtliche Bestimmungen

Inhalt einer Betriebsvereinbarung Betroffener Personenkreis Systembeschreibung Gegenstand des Übereinkommens, Zweck der

Verarbeitung Definition der verwendeten Daten Definition der Datennutzung Abgrenzung zu anderen Datenverarbeitungen Definition von Codes und Wertebereichen Maximale Dauer der gespeicherten Daten Vorgangsweise bei Änderung des Systems Anwendungs- und Auslegungsgrundsatz Schlichtungskommission Geltungszeitraum



Protokollierung vs. Mitarbeiterüberwachung

Scheinbarer Widerspruch zwischen §96 ArbVG und §14 DSG 2000

Verschiedene Protokollierungszwecke bedeuten verschiedene Datenanwendungen (auch bei denselben Daten)

Mitarbeiteranweisungen sind wesentlich!

Vereinbarungen mit Betriebsrat/Personalvertretung sind zu beachten

Maßnahmen zur Aufdeckung eines konkreten Mißbrauchs, sind immer zulässig!


DSG 2000 - Verschwiegenheit

Verpflichtung zum Datengeheimnis (§15)Mitarbeiter sind - sofern nicht berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.

Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.

Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.

Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung (!) kein Nachteil erwachsen.

Documents

© Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben Hans