© ARGE DATEN 2013 ARGE DATEN Datenverwendung im Unternehmen Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober

© ARGE DATEN 2013

ARGE DATEN

Datenverwendung im UnternehmenVereinbarungen, Informationspflichten,

Maßnahmen ARGE DATEN

Wien, NH Danube City, 23. Oktober 2013

© ARGE DATEN 2013

Die ARGE DATEN als PRIVACY-Organisation

Aktivitäten der ARGE DATEN

Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat

- Newsletter: rund 4.500 Abonnenten

- 2012: rund 500 Medienanfragen/-berichte

Mitgliederbetreuung Datenschutzfragen- 2012: ca. 600 Datenschutz-Anfragen

Rechtsschutz, PRIVACY-Services- 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten

Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen

Studien- und Beratungsprojekte

A-CERT - Zertifizierungsdienstleister gem. SigG

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Ausbildungsreihe der ARGE DATEN

Modul I: Datenschutz Grundlagen25. März 2014

Modul IV: Datenschutz Praxis / international

24. Oktober 2013 / 27. März 2014

Modul II: Datenverwendung im Unternehmen

Modul III: Datenschutz und IT-Sicherheit5. November 2013 / 8. April 2014

Modul V: Datenschutzfragen identifizieren6. November 2013 / 9. April 2014

Die Reihe wird mit einem Zertifikat abgeschlossen

Betrieblicher Datenschutzbeauftragter

© ARGE DATEN 2013

ARGE DATEN

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.

© ARGE DATEN 2013

ARGE DATEN

Betriebliche Datenverwendung

Dienste der Informationsgesellschaft

Mittagspause

Haftung

Seminarablauf

Cybercrime

Telekommunikation

© ARGE DATEN 2013

ARGE DATEN

betriebliche Datenverwendung

zulässige Datenverwendung

Betriebsvereinbarung & Privatnutzung

Datenschutzerklärung

© ARGE DATEN 2013

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich:

- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)

Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

ARGE DATEN

DSG 2000 - Grundrecht

© ARGE DATEN 2013

ARGE DATEN

Personenbezogene Daten

DSG 2000 - Definition Daten

Indirekt personenbezogene Daten §4 Z1 DSG 2000, (kein EU-Begriff!)

personenbezogene Daten §4 Z1 DSG 2000

sonstige besonders schutzwürdige Daten §18 Abs.2 DSG 2000 (kein EU-Begriff)

sensible Daten§4 Z2 DSG 2000

© ARGE DATEN 2013

ARGE DATEN

IT-Abteilung

Wer? Zweck? Daten?

Geschäftsführu

ng

Buchhaltung

Aufträge der Geschäftsführung

zulässige betriebliche Datenverwendung I

Personalverwaltung

Datenverwendung Personal

BestellabwicklungKundenbetreuung

Datenverwendung Bestellung

Direktwerbung

Datenverwendung Kundenbetreuung

Datenverwendung Direktwerbung

Marketing

Support

Verkauf

Personal-abteilung

innerbetriebliche Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

IT-Abteilung

Wer? Zweck? Daten?

Geschäftsführu

ng

Buchhaltung

zulässige betriebliche Datenverwendung II



Direktwerbung



Marketing

Support

Verkauf

Personal-abteilung

Webservice:

Supportinfos,Kontaktinfos,Kundenbereic

h

Internet

Bestelldaten werden ermittelt

Zukauf von Adressmaterial = Ermittlung

Datenschutzerklärung informiert über

Datenverwendung


© ARGE DATEN 2013

ARGE DATEN

zulässige betriebliche Datenverwendung III

IT-Abteilung

Wer? Zweck? Daten?

Geschäftsführu

ng

Buchhaltung

Personalverwaltung


Marketing

Support

Verkauf

Personal-abteilung

Webservice:


h

Internet

Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt

?


© ARGE DATEN 2013

ARGE DATEN




anderer Geschäftsbereich = Übermittlung

Bankdienstleistungen

zulässige betriebliche Datenverwendung IV

IT-Abteilung

Wer? Zweck? Daten?

Geschäftsführu

ng

Buchhaltung

Webservice:


h

Internet

Marketing

Support

Personal-abteilung

Verkauf

Personalverwaltung




Direktwerbung




© ARGE DATEN 2013

ARGE DATEN

IT-Abteilung

Wer? Zweck? Daten?

Geschäftsführu

ng

Buchhaltung

Webservice:


h

Internet

Aufträge der Geschäftsführung

zulässige betriebliche Datenverwendung?

Bankgeschäfte


Marketing

Support anderer

Geschäftsbereich = Übermittlung



?

Personal-abteilung

Verkauf

Personalverwaltung




Direktwerbung




© ARGE DATEN 2013

ARGE DATEN

Rollen im Unternehmen bei denen personenbezogene Daten anfallen

- Mitarbeiter (Spezialrecht: ArbVG, AVRAG/Arbeitsvertragsrechts-Anpassungsgesetz)

- Kunden (KSchG, ECG, ABGB, AGB + individuelle Verträge)

- Konsulenten, Berater (z.B. Anwälte, Steuerberater: berufsspezifische Standesregeln)

- sonstige Lieferanten (ABGB, AGB + individuelle Verträge)

- Eigentümer, sonstige Shareholder (Aktienrecht, Unternehmensrecht, ...)

- Mitbewerb (UWG, StGB, ...)

- Spezialgruppen, z.B. Patienten bei Pharmafirmen mit klinischer Forschung, ...

personenbezogene Daten und Rollen

© ARGE DATEN 2013

ARGE DATEN

Welche Daten darf ein Unternehmen verwenden?

- mit Unternehmenszweck vereinbar

- Abgrenzung der Zwecke durch Gewerbeordnung, Konzessionen, Spezialrecht, Gesellschafterverträge, Konzernvorgaben, branchenübliches Verhalten, Arbeitsrecht, in Standardanwendungen definiert

- Zweck muss objektiv nachvollziehbar sein ("Drittvergleich")

- Verwendung von über den Zweck hinausgehende Daten auch nicht zustimmungsfähig (nur für weitere angemessene Zwecke)

- es dürfen Bestelldaten zu Marketingzwecken verwendet werden (§§ 6-7,47 DSG 2000), werden jedoch zusätzliche Daten für Marketing ermittelt, ist dazu eine Zustimmung einzuholen

- sensible Daten dürften nur mit Zustimmung des Betroffenen verwendet werden (etwa für Werbung, Studien, ...)

Zwecke und Geschäftsbereiche

© ARGE DATEN 2013

ARGE DATEN

Welche Daten dürfen Behörden (öffentlich-rechtliche Einrichtungen) verwenden?

- auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen

- zur Vollziehung eines Gesetzes unbedingt erforderlich- im Rahmen privatwirtschaftlicher Dienste

DSK K120.515/9-DSK/96 ("Dekanat")- Dekanat gibt Daten wie Aufnahmedatum,

Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter

- unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat

- Gefahr der Beeinflussung des Prüfers

Zwecke und Geschäftsbereiche

© ARGE DATEN 2013

ARGE DATEN

DSK K121.259 (Internet als Datenanwendungen)

Ausgangslage- Mitarbeiter ersuchte um Auskunft der über ihn gespeicherten

Daten- beauskunftet wurden (nach Beschwerdeverfahren):

SAP-HR-Verwaltung, IT-Berechtigungsverwaltung, Zutrittskontrollsystem (teilweise)

- verweigert wurde: Internetprotokollierung (sei nur Sicherheitsprotokollierung), eMail-Verwaltung (Groupwise-Lösung, sei nur Dienstleistung für Mitarbeiter)

Entscheidung DSK- Auskunft ist zu erteilen

- Internetprotokollierung: geht über die Protokollierungspflichten nach § 14 DSG 2000 hinaus, ist daher eigenständige Anwendung

- eMail-Verwaltung: es handelt sich um eine Datenanwendung der Organisation, nicht des Mitarbeiters

Datenverarbeitungen

© ARGE DATEN 2013

ARGE DATEN

Fallbeispiel IndustriebetriebMeiste Anwendungen sind Standardanwendungen

- SA001 Rechnungswesen und Logistik

- SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse

- SA007 Verwaltung von Benutzerkennzeichen

- SA022 Kundenbetreuung und Marketing für eigene Zwecke

Keine Standardanwendungen- Betriebsdatenerfassung inklusive Inventarverwaltung

- Kantinenabrechnung

- Schulungsdatenbank

- Auswertung der Internetnutzung der Mitarbeiter

Keine Anwendung des Industriebetriebs- Sportverein für Mitarbeiter

DSG 2000 - Registrierung und Genehmigung

© ARGE DATEN 2013

ARGE DATEN

Typische Module (Zwecke):- Lohn/Gehaltsverrechnung- Darlehen/Exekutionsverwaltung- Reisekostenadministration- Zeitadministration- Bewerberverwaltung- Religionsbekenntnis- Aus- und Weiterbildungsverwaltung- Meldepflichten (SV, Finanz)- sonstige arbeitsvertragliche Verpflichtungen

- Beurteilungsdaten

Fallbeispiel Personalverwaltung (SA002)

Standard (20, 59-62)

Standard (36, nur für

Abwesenheitsverwaltung)

? Standard

Standard (47-51) Standard (57-58)

Standard (52)

Standard seit 30.3.11 eigener

Betroffenenkreis

DSG 2000 - Registrierung und Genehmigung

? Standard (64?)

Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine

registrierungspflichtige oder registrierungsfreie Datenanwendung handeln

Datenübermittlung an Konzern"mutter"

prüfen ob SA033

kein Standard

Standard (33-43)

© ARGE DATEN 2013

ARGE DATEN

Mitarbeiter- und Bewerberdaten

Personaldaten - innerbetriebliche Verwendung

- dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...)

- weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung)

- sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter

Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen

In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein:

Geschäftsführer, Manager, Außendienstmitarbeiter, ...

© ARGE DATEN 2013

ARGE DATEN

Datenträger GehaltszettelAushändigung? Postfach? Zusendung? Kontoauszug?

- Gehaltsdaten sind vertraulich zu behandeln- innerbetrieblich, aber auch gegenüber Dritten- können neben "klassischen" Gehaltsdaten auch sensible Daten

enthalten (Kirchenbeitrag, Gewerkschaftszugehörigkeit, Sonderzahlungen geben Hinweise auf Gesundheit)

Aushändigung durch Betriebsmitarbeiter - kann aufwändig werden (verteilte Standorte)- Verhinderung der unbemerkten Kenntnisnahme durch Verteiler

Hinterlegen im Unternehmen in einem Postfach- kostengünstig, geeigneter Standort notwendig- Verhinderung der unbemerkten Kenntnisnahme anderer

Mitarbeiter durch verschlossene Kuverts

Zusendung an Privatadresse- relativ teuer- Problem der Kenntnisnahme durch andere

Wohnungsangehörige- individuelle Situation berücksichtigen


© ARGE DATEN 2013

ARGE DATEN

Datenträger Gehaltszettel IIZusendung per eMail

- grundsätzlich zulässig, sehr kostengünstig- bei Firmen-eMails auf Nutzungspolicy achten (Funktionsadressen,

Vertreter- und Urlaubsregelung)- bei Privat-eMails Verfügbarkeit und auch Nutzung der Adresse

beachten (Familien-Mailadresse)- Verschlüsselung empfehlenswert

Hinterlegen auf Website- grundsätzlich zulässig, sehr kostengünstig- erfordert Passwortschutz/Zugangsverwaltung

Zustellung über Girokonto K211.680/0009-DSK/2006- grundsätzlich zulässig, kostengünstig- Dienstleistervereinbarung mit Bank erforderlich, es gilt das

Minimalprinzip - individuelle Situation berücksichtigen


Elektronische Zustellformen sind gemäß BMF gleichwertig zur Aushändigung in gedruckter Form

© ARGE DATEN 2013

Was ist zulässige Veröffentlichung im Internet?Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung

Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes

- Firmenkontaktdaten: Name, Funktion, Telefonnummer, eMail-Adresse

- Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang http://www.spickmich.de/

Potentiell problematische Veröffentlichungen:

- Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung

- Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten Verbot des öffentlich zugänglich machens, wenn "Verletzung berechtigter Interessen" erfolgt, OGH 8ObA136/00h)

Datenverwendung in Internet/Intranet

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Videoeinsatzbetriebliche Anwendungsbereiche:

(1)Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten, ...)

(2)Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung, ...)

(3)Überwachung von Lagerstellen

(4)Überwachung von Kundenzonen

(5)Überwachung von Arbeitsplätzen

(6)Überwachung von Sozial- und Hygienebereichen


Basis-Anforderungen nach DSG:

- grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu)

- Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen

Zulässigkeit? / Betriebsvereinbarun

g?

Ja / Nein, wenn keine Rückschlüsse auf MA

Ja / wie (1)

Ja / in der Regel Ja

Ja / wie (1)

nur im Sonderfall / Ja

Nein / nicht Vereinbarungsfähig

© ARGE DATEN 2013

ARGE DATEN

Videoeinsatz IIOLG Wien Beschluss 7 Ra 3/07y

- Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte

- ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen

Entscheidungskriterien

Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz

- Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein

- Maßnahme muss erforderlich sein [fehlende Alternativen]

- Maßnahme muss angemessen sein [Interessensabwägung], Eingriffsintensität darf nicht höher als bestimmtes Ziel sein]

Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1


© ARGE DATEN 2013

DSK K120.951/0009-DSK/2004("Protokollierung Zeiterfassung")

Zusätzlich wurden die tatsächlichen Eintragungszeiten protokolliert, diese dienten der "Plausibilitätsprüfung" der EingabeSowohl die Eintragungsdaten, als auch die Protokolldaten wurden aufgezeichnet und den jeweiligen Abteilungsleitern angezeigtDSK-Entscheidung: Aufzeichnung der Protokolldaten

ist zur Erfüllung der Dienstsaufsicht ungeeignet und daher unzulässig

Da kein anderer Verwendungszweck angegeben wurde, sind die Daten gem. § 27 Abs. 1 Z 1 DSG 2000 zu löschen.

Mitarbeiter einer Behörde haben "zeitnah" Arbeitsbeginn und -ende ein einem Zeiterfassungsprogramm einzutragen

DSG 2000 - Protokollierung

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

- geeigneter Betreiber ist zu bestellen

- Betreiber ist der DSK zu melden

- Betreiber hat Auskunftspflichten

DSG 2000 - Informationsverbundsystem

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Datenverwendung zwischen Unternehmen

U1 beauftragt

U3 beliefert Kunden

Unternehmen 1:Vertriebsfirma

Unternehmen 5:HR-Management

Unternehmen 6:Versicherung

Kunde kauft

Ermittlung

ÜberlassungUnternehmen 3:Auslieferung, Logistik

Unternehmen 4:IT-Service

Unternehmen 2:Produktion

Personal-daten-bank

U1 beauftragtÜbermittlung

Übermittlungen

Konzern-holding

konzernweite Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis

- bisher: keine "Konzernerleichterung"- Konzern-Mitarbeiterverzeichnisse waren

registrierungspflichtig- gemeinsame Verwendung bedeutete Vorliegen eines

genehmigungspflichtigen Informationsverbundes- Übermittlung in Drittstaaten ohne angemessenes

Schutzniveau war DSK-genehmigungspflichtig- neu (seit 18. 9. 2012): Kontaktverzeichnisse sind

"Standard", wenn sie SA033 lit. A. entsprechen Konsequenz:

- keine Registrierungspflicht- keine Genehmigungspflicht des Informationsverbundes- durch verpflichtende Verwendung der

Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau

die Standardanwendung SA033 findet sich im Anhang

konzernweite Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

SA033 Datenübermittlung im Konzern im Überblick

- Konzerndefinition: Konzernverband liegt vor, wenn ein rechtlich selbständiges Unternehmen auf Grund von Beteiligungen oder sonst unmittelbar oder mittelbar unter dem beherrschenden Einfluss eines anderen Unternehmens steht

- vier Detailthemen ("Zwecke")

- A. Konzernweite Kontakt- und Termindatenbank

- B. Karrieredatenbank

- C. Verwaltung von Bonus- und Beteiligungsprogrammen eines Konzerns

- D. Technische Unterstützung

alle anderen Zwecke eines Konzern-Datenverkehrs oder andere Unternehmensverbindungen (z.B. Joint-Ventures, Projektpartnerschaften usw.) fallen NICHT

darunter!

StMV-Novelle - konzernweite Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

A. Konzernweite Kontakt- und Termindatenbank

- Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank

- Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8

- Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten)

- Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten

- Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichtenbei ehemaligen Beschäftigten: reduzierter Datenumfang!

- Übermittlungen: andere Konzernunternehmen weltweit


© ARGE DATEN 2013

ARGE DATEN

A. Konzernweite Kontakt- und Termindatenbank II

- Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG


© ARGE DATEN 2013

ARGE DATEN

B. Karrieredatenbank

- Zweck: Verwaltung freiwillige Teilnahme an Karriereprogramme

- Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 2 und 12 Abs. 3 Z 5 und/oder Z 8

- Speicherdauer: Ende der Bewerbung (Zurückziehung oder Beschäftigungsende)

- Betroffene: [breit gefasst] wie bei A.

- Datenarten (Auswahl): Identifikations- und Organisationsdaten, Kontaktdaten, Qualifikationen, Sprachkenntnisse, Leistungsbeurteilung, Karrierewünsche/Gehaltsvorstellungen

- Übermittlungen: andere Konzernunternehmen weltweit die neue Mitarbeiter suchen, externe Beratungsunternehmen die in Personalangelegenheiten beraten

- Sicherheitsvorgaben: wie A.

StMV-Novelle - Standard- und Musterverordnung

© ARGE DATEN 2013

Whistleblowing - Grundlagen

Whistleblowing - "verpfeifen" - Hinweisgeber

"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)

Whistleblowing - "verpfeifen" - Hinweisgeber

"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)

bekannt gibt."

"bekannt geben" als Verallgemeinerung

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Grundlagen

Whistleblowing - (Rechts-)Grundlagen- internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“ (SOX), gelten auch für deren Non-US-Töchter!)

- generelle Sorfaltspflichten eines Unternehmens

- Antikorruptionsbestimmungen, in Österreich Anti-Korruptionsstrafrecht

- spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion

- moralisches Gerechtigkeitsgefühl der Hinweisgeber

- ???ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Erscheinungsformen

Whistleblowing - Datenschutzrelevanz

- Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen

- es besteht Personenbezuga) es werden konkrete Personen bezichtigt und/oderb) Hinweisgeber kann identifiziert werden und/oderc) Daten beziehen sich auf Unternehmen

- es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen

- Hinweise können strafrechtlich relevante Sachverhalte betreffen

- Betroffene haben subjektive Rechte

Anspruch auf Geheimhaltung

Registrierungs-, Genehmigungspflichten

Auskunfts-, Richtigstellungs- und Löschungsrechte

Vorabkontrollpflicht

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Datenschutzverpflichtungen

Whistleblowing - Auskunftsrecht § 26 DSG 2000

Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen.

§ 26 Auskunftsrecht kann beschränkt werden, wenn

a)überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person)

b)Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise)

Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht!

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Datenschutzverpflichtungen

Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000

Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen.

§ 27 kann beschränkt werden, wenn

a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen

b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist

Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht!

ARGE DATEN

© ARGE DATEN 2013

Web 2.0 und Social Media

Hurra! W

ir sin

d auf

Facebook!

... aber w

as mach

en wir

da?

ARGE DATEN

© ARGE DATEN 2013

Web2.0 und Social Media

Was ist Web2.0?

üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte

Welche Bestimmungen sind anwendbar?

- DatenschutzbestimmungenBenutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten- E-Commerce-BestimmungenHaftung, Auskunftspflichten- sonstige BestimmungenMedienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz, ...

Hinweis!Web2.0-Regelung haben Ausgleich zwischen

mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz

der PrivatsphäreARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern

(1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor!

Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber

Web2.0, Social Media und Datenschutz

© ARGE DATEN 2013

ARGE DATEN


(2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.

Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.


© ARGE DATEN 2013

ARGE DATEN


(3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).

In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar.

(4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung).

Für Facebook gelten die Bestimmungen des Geschäftssitzes


© ARGE DATEN 2013

ARGE DATEN

Was kann/muss ein Unternehmen regeln / tun?

+/-Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten

+/-Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten

+/-bestimmte Formulierungen bei Aussagen in Social Media über Unternehmen verpflichtend vorgeben

+/-Überwachen was Bewerber / Arbeitnehmer in Sozialen Netzwerken tun

- sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion, ...)

- verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern

- Generell Mitarbeitern private Web2.0 Accounts verbieten

Web2.0 und Social Media

© ARGE DATEN 2013

ARGE DATEN





© ARGE DATEN 2013

ARGE DATEN

IT-Nutzung im Spiegel der Rechtssprechung

- OGH 9ObA75/04a:eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.

- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.

- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund

(un)zulässiger IT-Einsatz

© ARGE DATEN 2013

ARGE DATEN

IT-Nutzung im Spiegel der Rechtssprechung II

- OGH 9 ObA 11/11z:Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt

- LAG München 11 Sa 54/09:unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)

- DSK K213.137/0009-DSK/2012:Ein Kurzentrum möchte Video- und Tonaufzeichnungen nicht zur Mitarbeiterüberwachung, sondern zur "Qualitätssicherung installieren, Empfehlung der DSK: derartige Aufzeichnungen sind unzulässig

(un)zulässiger IT-Einsatz

© ARGE DATEN 2013

ARGE DATEN

Betriebsvereinbarung §§ 96, 96a, 97 ArbVG- Mitarbeiterdaten dürfen ohne Zustimmung

automationsunterstützt verwendet werden, wenn sie zur Erfüllung von Verpflichtungen aus Gesetzen, Normen der kollektiven Rechtsgestaltung oder aus dem Arbeitsvertrag dienen (etwa Lohnverrechnung)

- weitergehende Datenverwendung, insbesondere zur Beurteilung der Leistungsfähigkeit des Mitarbeiters sind ersetzbar zustimmungspflichtig gem § 96a Abs 1 Z 1 ArbVG

- Datenverwendung (Kontrollmaßnahmen), die die Menschenwürde berühren bedürfen der Zustimmung gem. § 96 Abs 1 Z 3 ArbVG

- (private) Betriebsmittelnutzungen könnte gemäß § 97 Abs 1 Z 6 ArbVG mittels Betriebsvereinbarung geregelt werden

Bei Fehlen eines Betriebsrates ist Einzelvereinbarung gemäß § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) mit Mitarbeiter abzuschließen

Regelung gilt im öffentlich-rechtlichen Bereich analog, u.a. PVG § 9 Abs. 2 lit. f (in § 10 komplizierte Regelung für "Einvernehmen")

Gilt nicht bei Werkverträgen oder sonstigen Dritten (Dienstleistern)

Grundlage Betriebsvereinbarung

© ARGE DATEN 2013

ARGE DATEN

Kontrollmaßnahmen im Betrieb

Telefondatenaufzeichnung(OGH 8ObA288/01p)

- Telefondatenerfassung immer zustimmungspflichtig- Nummernunterdrückung bei Privatgesprächen ist nicht

ausreichend (Markierung als "P")- Bei Weigerung eine Betriebsvereinbarung abzuschließen,

wird das System ersatzweise zustimmungspflichtig- Problem der Kontrolldichte, automatisierte Kontrolle nicht

mit üblicher Aufsichtspflicht vergleichbar- Menschenwürde schon berührt, wenn Mitarbeiter sich

subjektiv überwacht fühlt und das System technisch geeignet ist

- auch am Arbeitsplatz besteht - wenngleich eingeschränkt - Recht auf Privatsphäre

Zeitaufzeichnung (OGH 8ObA97/03b)- bei vorgesehener Verwendung ist immer der

Leistungsumfang des konkret eingesetzten Programmpaketes entscheidend

© ARGE DATEN 2013

ARGE DATEN

Kontrollmaßnahmen im Betrieb

Zulässigkeit einer biometrischen ZeiterfassungAusgangslage:

- ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um

- Betriebsvereinbarung wird keine abgeschlossen- alle Fingerabdrucksdaten werden bei einem Biometriebetreiber

zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen

OGH-Entscheidung 9 ObA 109/06d:- OGH betont erneut Recht auf Privatsphäre im Betrieb- biometrische Zeiterfassungssysteme haben höhere

Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben

- kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung)

- auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor

- auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)

© ARGE DATEN 2013

ARGE DATEN

Datenschutz und Betriebsrat

Datenschutzrechte und Betriebsrat(OGH Entscheidung 6 ObA 1/06z)

- ein Flugunternehmen führte ein "Crew Management System" ein, das neben Stammdaten die Einsatzpläne, Qualifikationen usw. verwaltete

- Betriebsrat begehrte Löschung der Daten (§ 27 DSG 2000)- Löschung abgelehnt, da Betriebsrat nach dem DSG 2000 keine

Parteienstellung hat- Datenschutzrechte sind höchstpersönliche (subjektive) Rechte- Betriebsrat steht in Datenschutzangelegenheiten auch keine

Vertretungsbefugnis der Mitarbeiter zu- Mitarbeiter müssen allfällige Löschungsrechte selbst einklagen

(auch wenn notwendig in Parallelverfahren)

- BR-Rechte im ArbVG geregelt (z.B. § 89 Z 1 ArbVG Recht auf Einsichtnahme in Gehaltsdaten, bedeutet kein Recht auf Datenzugriff (OGH 9ObA3/03m)

- eine weitere Grenze ergibt sich bei der privaten Nutzung von Betriebsmitteln, auch hier sieht ArbVG keine Mitbestimmungsrechte des Betriebsrates vor

© ARGE DATEN 2013

ARGE DATEN

Datenschutz und Betriebsrat

Betriebsratsbestimmung im DSG 2000- § 9 Z 11 regelt Einsatz sensibler Daten im Betrieb- § 9 Z 11 betont, dass Betriebsratsrechte durch die Regelung

nicht berührt sind

Zusammenfassung- Datenanwendungen im Betrieb sind daher sowohl am ArbVG,

als auch am DSG 2000 zu messen- Betriebsvereinbarung kann nicht erforderliche Zustimmung der

Betroffenen ersetzen- umgekehrt kann Zustimmung der Betroffenen nicht eine

notwendige Betriebsvereinbarung ersetzen

Datenanwendungen, die die Menschenwürde verletzen, sind weder zustimmungsfähig, noch

betriebsvereinbarungsfähig.

© ARGE DATEN 2013

ARGE DATEN

Betriebsvereinbarungen

Informationstechnik und Betriebsvereinbarung IBereiche in denen Betriebsvereinbarungen sinnvoll sind:

- Internet- / eMail-Einsatz- Intranet / Mitarbeiterinfos / Online-

Mitarbeitermagazin- Online-Mitarbeiter-Befragungen- elektronische Aktenbearbeitung, elektronische

Rechnungsbearbeitung- gemeinsame Nutzung von Kalender- und

Projektplanungssoftware- biometrische Zeiterfassung- Videoüberwachung / Zutrittskontrollsysteme jeder

Art

© ARGE DATEN 2013

Betriebsvereinbarungen

Informationstechnik und Betriebsvereinbarung II(Fortsetzung):

- Verwendung von Diensthandys- Einsatz von Audit- und Remote-Support-Software- Blackberry/Bluetooth - Einsatz im Verkauf- Bestellautomation / für Kundenlager-Kontrolle - digitale Signatursysteme (z.B. Paketzusteller,

Installateur, ...)- GPS-Einsatz bei Fuhrpark

Bereiche bei denen Betriebsvereinbarung + individuelle Zustimmung nach DSG Bedeutung haben kann:

- Konzernweite mitarbeiterbezogene Reporting-Systeme

Bereiche, bei denen keine Betriebsvereinbarung vorgesehen ist:

- Dienstleistervereinbarungen nach DSG 2000ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Betriebsvereinbarung [BV] - ÜbersichtA. Betroffener Personenkreis B. Systembeschreibung C. Gegenstand des Übereinkommens, Zweck der Verarbeitung D. Definition der verwendeten Daten E. Definition der Datennutzung F. Abgrenzung zu anderen Datenverarbeitungen G. Definition von Codes und Wertebereichen H. Maximale Dauer der gespeicherten Daten I. Vorgangsweise bei Änderung des Systems J. Anwendungs- und Auslegungsgrundsatz K. Schlichtungskommission L. Geltung

Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: ÜbermittlungenAnhang IV: Zugriffsberechtigte / Systemadministratoren

Intranet - Betriebsvereinbarung

© ARGE DATEN 2013

ARGE DATEN

Betriebsvereinbarung [BV] - Beispiel Mail

A. Betroffener Personenkreis "Alle Mitarbeiter mit e-mail-Account." ["Zugang zum Internet"]

B. Systembeschreibung Verwendet wird Mailserver xy [bei Provider ...] in Version v999 mit folgenden Eigenschaften:

- Bereithalten von Mails am Server,- erstellen Mailkopien- Viren- und Wurmscan mittels Software abc- Protokollierung der ein-/ausgehenden Mails gem. Daten

Anhang IWartungs- und Systemverantwortlicher: ....

C. Gegenstand des Übereinkommens, Zweck der Verarbeitung Vereinbarung regelt private und dienstliche Mailnutzung, Verhalten bei Attachments, bei Missbrauchsverdacht und Abwehr von Spam/Würmern/Viren


© ARGE DATEN 2013

ARGE DATEN


D. Definition der verwendeten Daten Mailinhalt (inkl. Betreff und Attachements), Absender, Empfänger, Ursprungsdaten, Eingangs/Ausgangszeit, Mailgröße, ...(Details siehe Anhang I)

E. Definition der Datennutzung (Regelungsbeispiele)- Aufbewahrung/Archivierung der Mails- Erzeugen von Mailkopien- Regeln für Leserechte- Auswertung von Mail-Protokolldaten: Speicherdauer,

Verwendung beweglicher Speichermedien- Verwendung von Funktions- und Personenmailadressen (z.B.

dienstliche Angelegenheiten sind vorrangig (immer) mittels Funktions-Mailadresse zu versenden)

- Definition der missbräuchlichen Nutzung- Vorgangsweise bei missbräuchlicher Nutzung


© ARGE DATEN 2013

ARGE DATEN


E. Definition der Datennutzung (Fortsetzung)- Filterungen/Scan finden nicht statt, ausgenommen

Spam-/Wurm-/Viren-Filter mittels ......- Vorgangsweise bei vorhersehbarer Dienstverhinderung- Vorgangsweise bei Ausscheiden, unvorhergesehener

Dienstverhinderung, Todesfall- Informations- und Einschaurechte des Betriebsrates

[-Nutzung privater Mails- Obergrenze der privaten Mails xx kByte (z.B. 300 kByte/Mail)]

F. Abgrenzung zu anderen Datenverarbeitungen - sonstige Internetnutzung ist von dieser Vereinbarung nicht

betroffen

G. Definition von Codes und Wertebereichen - im Fall eMail wird keine Vereinbarung notwendig sein


© ARGE DATEN 2013

ARGE DATEN


H. Maximale Dauer der gespeicherten Daten- Mailkopien am Server werden max. xxx Tage gespeichert- Protokolldaten bis z.B. Ende des darauffolgenen Monats

I. Vorgangsweise bei Änderung des Systems - geplante Systemänderungen werden dem Betriebsrat 2 Monate

vorab angekündigt- ausgenommen Sicherheitsupdates aufgrund von Sicherheits-

Empfehlungen (Hersteller, cert, dfn-cert, ...)- Patches aufgrund von Fehlfunktionen (Hersteller, ...)

J. Anwendungs- und Auslegungsgrundsatz- BR und GF legen die BV nach den Grundsätzen der

Wirtschaftlichkeit aus


© ARGE DATEN 2013

ARGE DATEN


K. Schlichtungskommission- Zusammensetzung- bei Nichteinigung wird ein externer Gutachter beigezogen

L. Geltung- Vereinbarung gilt ab .....20xx für ein Jahr

(alternativ: auf unbestimmte Zeit)

Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: Übermittlungen

Anhang IV: Zugriffsberechtigte/Systemadministratoren

Für Anhang I-III können auch als Basis für die Registrierung beim DVR herangezogen werden.


© ARGE DATEN 2013

ARGE DATEN

private IKT-Nutzung

IKT-Nutzungsverordnung – IKT-NV(BGBl. II Nr. 281/2009)

Regelt private IKT-Nutzung für Bedienstete des Bundes

Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne

- Beeinträchtigung des Dienstbetriebs- keine Schädigung des Ansehens des öffentlichen

Dienstes- keine Gefährdung der Sicherheit des IKT-Betriebs- keine missbräuchliche Verwendung

rein private Geschäfte sind erlaubt (§ 4 Abs. 2)

private eMail-Nutzung (§ 5)- kein Hinweis auf dienstliche Stellung oder dienstliche

Postadresse- keine Verwendung dienstlicher eMail-Signaturen- private eMails dürfen nach Schadprogrammen und

Spam gescannt werden

© ARGE DATEN 2013

ARGE DATEN

private IKT-Nutzung

IKT-Nutzungsverordnung – IKT-NV II(BGBl. II Nr. 281/2009)

Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4)

- Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten

- Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen

- Zugriff auf pornographische Inhalte- Zugriff auf Seiten, die Zahlungsverpflichtungen des

Dienstgebers zur Folge haben- herunterladen "schadware-verdächtiger" Dateitypen

keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff!

(§ 4 Abs. 5)

© ARGE DATEN 2013

ARGE DATEN





© ARGE DATEN 2013

ARGE DATEN

Wozu dienen Privacy Statements [PS]?

- zur Klärung individuell vereinbarer Teile

- zur Erfüllung gesetzlicher Informationspflichten

- vorteilhaft gegenüber Kunden/Interessenten aus Drittländern oder im Rahmen besonderer Verpflichtungen, wie Corporate Social Responsibility (siehe Anhang)

Es besteht keine Verpflichtung zu Privacy Statementses gilt (immer) das österreichische DSG

(bei Datenverarbeitern mit Niederlassung in Österreich)

Datenschutzrechtliche Einordnung

- Privacy Statements sind detaillierte Ausformungen, was als "Verwendung der Daten nach Treu und Glauben" anzusehen ist (§ 6 DSG 2000)

- § 6 Abs. 4 spricht weiters die Möglichkeit an, gemeinsame Verhaltensregeln einzelner Bereiche (Branchen) auszuarbeiten [Selbstregulierung]

Datenschutzerklärung / Privacy Statements [PS]

© ARGE DATEN 2013

ARGE DATEN

Was leisten Privacy Statements nicht? - Aufhebung gesetzlicher Datenschutz-, TKG- oder e-

commerce-Bestimmungen, sonstiger verpflichtender gesetzlicher Bestimmungen

- bloße Beschwichtigung: "uns ist Datenschutz wichtig"

- Eingriffe in Rechte Dritter (Verfügung über die Daten von Lebenspartnern, "Freundschaftswerbung")

negatives, unzulässiges Beispiel:

"Vertragspartner verzichten auf das Auskunftsrecht gem. DSG 2000"

Privacy Statements [PS]

© ARGE DATEN 2013

ARGE DATEN

Ein „Standard“ - Statement"Der Kunde stimmt zu, dass die Daten im Rahmen der Bestellung für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet."

Ist in dieser Form nicht nötig, diese Dinge sind bloß informationspflichtig

Ein einfaches „Standard“ - Statement"Der Kunde wird gemäß österreichischem Datenschutzgesetz darüber informiert, dass die Daten ..... von dem Unternehmen XY-Enterprise zur Abwicklung der Bestellung, für Zwecke der Buchhaltung, zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Folgende zusätzliche Daten werden zu internen Marktforschungs- und Marketingzwecken verwendet, die Bekanntgabe ist freiwillig und nicht an die Bestellung gebunden: ... Die Verwendung dieser Daten kann gemäß DSG 2000 jederzeit, ohne Angabe von Gründen widerrufen werden und hat keinen Einfluss auf die sonstigen vertraglichen Verpflichtungen."


© ARGE DATEN 2013

ARGE DATEN

Aufbau eines optimalen Privacy Statements (1) Individuelle Vereinbarungen

(2) Informationen zur Datenverwendung

(3) Allgemeine rechtliche Informationen

(4) Technische Informationen zur Datensicherheit

(5) Kontroll-, Beschwerde- und Informationsstelle(n)


© ARGE DATEN 2013

ARGE DATEN


e-Commerce Bestimmungen

Medienrechtsbestimmungen

Unternehmensgesetzbuch

Vereinsgesetz

© ARGE DATEN 2013

Grundlagen Österreich- E-Commerce-Gesetz – ECG, BGBl I 152/2001- Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG)- Mediengesetz, BGBl I 49/2005, 151/2005- Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I

120/2005(geregelt im Unternehmensgesetzbuch)

Grundlagen EU- EG-Richtlinie 2000/31/EG "Richtlinie über den

elektronischen Geschäftsverkehr"

Regelungsbereich- regeln diverse Informations- und Auskunftspflichten bei

Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2


ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Geltungsbereich §§ 1ff ECG- geregelt wird elektronischer Geschäfts- und Rechtsverkehr- Zulassung von Diensteanbietern, Informationspflichten,

Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§1)

- von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§2)

-Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere

- Online-Vertrieb von Waren und Dienstleistungen,- Online-Informationsangebote,- Online-Werbung,- elektronische Suchmaschinen,- Datenabfragemöglichkeiten,- Dienste, die Informationen über ein elektronisches Netz

übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, eMail-Dienste)

Bestimmungen e-commerce

© ARGE DATEN 2013

Geltungsbereich §§ 1ff ECG II- Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische

Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt

- Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch- Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken

handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören

ARGE DATEN


© ARGE DATEN 2013

ARGE DATEN

Allgemeine Informationspflichten § 5 ECG

leicht verständliche und eindeutige Information zu:- Personenname oder Firmen-/Organisationsname- geographische (ladungsfähige) Anschrift- Kontaktdaten (inkl. eMail-Adresse)- evtl. zuständige Aufsichtsbehörde- evtl. FN-Nummer und Firmenbuchgericht- evtl. berufsrechtliche Vorschriften und Zugang- evtl. UID-Nummer- klare Preisauszeichnung!- Sonstige Informationspflichten bleiben unberührt!

Verstoß:- Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro)- Wettbewerbsverletzung § 1 UWG

Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop)


© ARGE DATEN 2013

ARGE DATEN

Besondere Informationspflichten § 9 ECG

Klare, verständliche und eindeutige Informationen vor Abgabe der Vertragserklärung über

- technisch erforderliche Schritte zum Vertragsabschluss- eventuelle Speicherung des Vertragstextes und Zugang dazu- technische Mittel zur Erkennung und Berichtigung von

Eingabefehlern- Sprachen in denen Vertrag abgeschlossen werden kann- freiwillige Verhaltenskodizes, Schiedsstellen usw.

Verbraucher kann nicht rechtswirksam darauf verzichtenSonstige Informationspflichten bleiben unberührt!

Verstoß- Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro)- UWG- evtl. Schadenersatz- evtl. irrtumsrechtliche Anfechtung

Anzuwenden bei Onlinediensten (Shops, ...) im engeren Sinn


© ARGE DATEN 2013

ARGE DATEN

erweiterte Informationspflicht gem. § 5c KSchG

- Name des Anbieters oder der Firma- wesentliche Eigenschaften der Leistung- Preis und Lieferkosten- Einzelheiten Zahlung, Lieferung oder Erfüllung- Rücktrittsrecht- Angabe der Telefonkosten/Onlinegebühren für

Informationen (sofern nicht ortsüblich)- Gültigkeitsdauer des Angebotes oder Preises- Mindestlaufzeit des Vertrages

Bestimmungen gelten für Geschäfte mit Verbrauchern (Konsumenten), Ausnahmen vorgesehen


© ARGE DATEN 2013

ARGE DATEN

Zugang elektronischer Erklärungen (§ 12 ECG)

- eMail gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann (unterschiedlich bei Unternehmen und Privatpersonen)

Aber: Risiko der Übermittlung und des vollständigen Zugangs einer eMail beim Empfänger trägt der Absender

- Eventuell Prüf- und Sorgfaltspflichten des Empfängersregelmäßige Nachschau in eMailbox, Sicherstellung des Betriebs (Providerhaftung!)

- Gegenwärtige eMail-Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen

- Funktionieren beruht auf Good-Will aller Beteiligter- Zustelldienste mit elektronischer Signatur und personalisierten

URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. http://www.e-zustellung.at/


© ARGE DATEN 2013

ARGE DATEN

Medienrecht

Ist Website ein Medium?

Website oder elektronischer Newsletter (mind. viermal jährlich, vergleichbare Gestaltung sind "periodische elekronische Medien (§1 Z 5a MedienG, seit 1.7.2005)

- elektronischer Newsletter wird als "wiederkehrendes elektronisches Medium" bezeichnet

- keine Medienwerke (§1 Z 3) oder periodische Medienwerke (§ 1 Z 5)

- permanente Offenlegungspflicht (§ 25), nicht Impressumspflicht (§ 24)

- bei Website ständig und leicht auffindbar bereitzustellen (§ 25)

- bei Newsletter als Teil des Newsletters (jedes Mal) oder als Link auf Website (§ 25)

- Missachtung ist Verwaltungsübertretung, seit 1.7.2012 bis 20.000 EUR Strafe (früher 2.180,- EUR)

- Offenlegungspflicht trifft Medieninhaber

© ARGE DATEN 2013

ARGE DATEN

Medienrecht

Offenlegungspflichten (§ 25 MedienG)

- Name des Betreibers (z.B. bei privaten Seiten, Einzelpersonen) oder Organisationsbezeichnung (Firma, Verein) (I)

- Wohnort oder Sitz der Gesellschaft, Niederlassung (II)

- Angabe des Unternehmensgegenstandes (III)

- sofern zutreffend: Name der Geschäftsführer, Mitglieder des Vorstandes und Aufsichtsrates und der Gesellschafter mit einer Einlage von mehr als 25%

- gilt auch für mittelbar beteiligte Gesellschafter

- Erklärung über die grundlegende Richtung des Mediums

Erleichterung bei Websites (und nur bei diesen!) die keine Beeinflussung der öffentlichen Meinungsbildung anstreben:

- in diesem Fall sind nur Name, Sitz (Ort) und Unternehmensgegenstand anzugeben (I) - (III)

© ARGE DATEN 2013

ARGE DATEN

Medienrecht

Auswirkungen der Aufnahme von Websites als Medium

- schon bisher ist die Rechtssprechung davon ausgegangen, dass Websites Medien sind

- viele Bestimmungen trafen jedoch definitorisch nicht zu und bereiteten daher Umsetzungsschwierigkeiten (etwa Beschlagnahme)

- nun ausdrücklich für Websites geregelt:u.a. Üble Nachrede, Beschimpfung, Verspottung und Verleumdung (§ 6), Verletzung des höchstpersönlichen Lebensbereiches (§ 7), Identitätsschutz (§ 7a), Unschuldsvermutung (§ 7b),

- Gestaltung, Durchsetzbarkeit von Gegendarstellungen (§ 13)Geldbuße bis 1.000 EUR für jeden versäumten Tag (§ 20)

- Beschlagnahme von Websites (= Löschung des entsprechenden Inhalts) (§ 36)

© ARGE DATEN 2013

ARGE DATEN

Unternehmensgesetzbuch

Impressumspflicht nach dem Unternehmensgesetzbuch (§ 14)

- gilt seit 1.1.2007 für Kapitalgesellschaften (AGs, GmbHs), für alle anderen eingetragenen Unternehmen ab 1.1.2010

- Unternehmensgesetzbuch ersetzt bisheriges Handelsgesetzbuch

- betrifft alle Geschäftspapiere und Bestellscheine (aber auch alle Websites und alle E-Mails)

- gilt für alle im Firmenbuch eingetragenen Unternehmen

- verpflichtende Angaben:Firmenname, Firmenbuchnummer, FirmenbuchgerichtFirmensitz (Sitz laut Firmenbucheintragung)Rechtsform (z.B. GmbH, AG, OG, KG, eingetragenes Einzelunternehmen/e.U.)

+ weitere für spezifische Unternehmensformen zutreffende Hinweise

© ARGE DATEN 2013

ARGE DATEN

Vereinsgesetz

Informationspflicht nach dem Vereinsgesetz(§ 18)

- ZVR-Zahl ist von den Vereinen im Rechtsverkehr nach außen zu führen (§ 18 Abs. 3)

- Strafbestimmung § 31: Geldstrafe bis zu 218 Euro, im Wiederholungsfall mit Geldstrafe bis zu 726 Euro zu bestrafen

© ARGE DATEN 2013

ARGE DATEN

http://www.interesse.at/

http://www.internet4jurists.at/

http://www.bsi.bund.de/

http://www.it-law.at/

http://www.w3.org/P3P/

Onlineinformation

http://eur-lex.europa.eu/de/index.htm

© ARGE DATEN 2013

ARGE DATEN

Ich danke für Ihre Aufmerksamkeit

© ARGE DATEN 2013

ARGE DATEN

StMV - mitarbeiterbezogene SA

Betriebsvereinbarung e-Mail/Internet

CSR - Datenschutz-Regeln

SPG § 53 - Auskunftspflichten Polizei

Anhang

Cookie Stellungnahme Art. 29-Gruppe

IKT-Nutzungsverordnung Bundesdienst

© ARGE DATEN 2013

ARGE DATEN

Sonstige Seiten

© ARGE DATEN 2013


Whistleblowing - Formen I

"bekannt geben" kann bedeuten:- innerbetrieblich melden- im Auftrag des Betriebs an eine neutrale Ombudsstelle melden

- an den Gesellschafter (z.B. Konzernzentrale, ...) melden

- an Strafverfolgungsbehörden melden ("Anzeige")

- an die Öffentlichkeit bringen

Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!

ARGE DATEN

© ARGE DATEN 2013


Whistleblowing - Formen II

"Meldung / Melder":- Meldung erfolgt anonym: meist nur Einmalhinweis möglich

- Meldung erfolgt pseudonymisiert: erlaubt Rückfragen, Rückmeldungen

- Meldung erfolgt personenbezogen


ARGE DATEN

© ARGE DATEN 2013


Whistleblowing - Formen III

Methode wie Hinweise gegeben werden können:

- Angabe einer Postadresse- Angabe einer Telefonnummer / Hotline- Online-Service (Webformular)


ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Weitere Verpflichtungen (§ 10 ECG)

- Verfügbarkeit angemessener, wirksamer und zugänglicher technischer Mittel zur Erkennung und Berichtigung von Eingabefehlern

- Unverzügliche elektronische Empfangsbestätigung des Zugangs einer Vertragserklärung (außer Online-Dienstleistungen)

Ergänzungen:- Verbraucher kann nicht rechtswirksam darauf verzichten - nicht anwendbar bei ausschließlicher Verwendung der

elektronischen Post- Vorsicht! eine Empfangsbestätigung darf nicht mit einer

Auftragsbestätigung verwechselt werden!

Informationen müssen einfach auffindbar sein!


© ARGE DATEN 2013

ARGE DATEN

Rücktrittsrecht I (§ 5e KSchG)

- Rücktritt ist das rückgängig Machen eines Vertragesnicht zu verwechseln mit Umtausch, Reklamation, Gewährleistung, Vertragswandlung, Irrtum usw.

- Es sind keine Gründe für den Rücktritt anzugeben

- Rücktritt wird Zug-um-Zug abgewickeltAuslagenrückerstattung für VerbraucherWertminderungs/Benützungsentgelt für Anbieter

- Rücktritt gilt automatisch auch für Drittfinanzierungsvereinbarungen

- Ziel der Bestimmung ist das Verhindern der Überrumpelung


© ARGE DATEN 2013

ARGE DATEN

Rücktrittsrecht II (§§ 5e, 5g KSchG)

Rücktrittsfrist: 7 Werktage (ohne Samstag) ab Vertragsabschluss (typisch bei Dienstleistungen) oder ab Zustellung der Ware (falls kein Vertrag abgeschlossen wurde)Voraussetzung ist eine korrekte Aufklärung über den Rücktrittansonsten 3 Monate Rücktrittsrecht

Rücksendekosten hat Anbieter zu tragenes kann jedoch die Übernahme der Rücksendekosten durch den Verbaucher vereinbart werden

Verzicht auf Rücktritt kann nicht wirksam vereinbart werden

"Faustregel": rücktrittswürdig sind alle Leistungen die rückgabefähig sind

Ausnahmen vorgesehen


© ARGE DATEN 2013

ARGE DATEN

Ausnahmebestimmungen "Rücktritt"

- Leistungen, deren Preis kursabhängig ist- verderbliche Waren- kundenspezifisch angefertigte Waren- Dienstleistungen, mit deren Ausführung

vereinbarungsgemäß binnen 7 Werktagen begonnen wurde (inkl. Onlinedienste)

- entsiegelte Audio- oder Videoaufzeichnungen und Software

- Zeitungen, Zeitschriften oder Illustrierte- Wett- und Lotteriedienstleistungen- "Haushaltslieferungen" und "Freizeitdienstleistungen

(siehe Ausnahmebestimmungen II)Hinweis!Rücktrittsrecht gilt auch bei Bestellung im Internet und Selbstabholung im Ladengeschäft (OGH 7Ob54/08d)


© ARGE DATEN 2013

ARGE DATEN

sonstige Ausnahmebestimmungen II(§ 5c Abs. 4) für

„Hauslieferungen“ Güter des täglichen Bedarfs + Zustellung an Aufenthaltsort, Wohnort oder Arbeitsstätte) Achtung! Trifft nicht automatisch auf jeden Lebensmittelversand zu! (Direktvertrieb von Bioprodukten, Weinversand, ...)

„Freizeitdienstleistungen“Leistungen im Bereich Speise+Getränke, Unterbringung, Beförderung und Freizeitgestaltung + Vereinbarung der Leistungserbringung zu einem genau definierten Zeitpunkt

Ausnahmen vonInformationspflichten (§ 5c KSchG)Rücktritt (§ 5e KSchG)Erfüllung/Mitteilungspflicht (§§ 5d, 5i KSchG)


© ARGE DATEN 2013

ARGE DATEN

elektronische Kommunikation im Betrieb

(betriebliche) eMail- / Internetnutzung im Spiegel der Rechtssprechung

- OGH 9ObA75/04a:eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.

- OGH 9ObA98/06m:Per eMail verbreitete beleidigende Äußerung rechtfertigt Entlassung.

- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.

- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund

© ARGE DATEN 2013

ARGE DATEN


(betriebliche) eMail- / Internetnutzung im Spiegel der Rechtssprechung II

- OGH 9 ObA 11/11z:Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt

- OGH 8 ObA 52/11x:tägliches privates Surfen im Internet, Download umfangreicher Film-und Musikdateien - keine Schädigungsabsicht, kein konkreter Schaden nachweisbar - Umfang rechtfertigt Entlassung.

© ARGE DATEN 2013

ARGE DATEN


(betriebliche) eMail- / Internetnutzung im Spiegel der Rechtssprechung III

- OGH 9 ObA 16/08f:Sach-Mitteilungen per eMail (hier: Dienstfrei-Stellung) sind zulässig

- OLG Graz 7Ra17/07k:Geltendmachung von Lohnansprüchen per eMail entspricht Schriftform-Gebot in kollektivvertraglichen Verfallsklauseln ("modernes Kommunikationsmittel").Es ist jedoch die Zustellung und Kenntnisnahme sicher zu stellen.

- OGH 9 ObA 96/07v:Keine wirksame Kündigung des Lehrverhältnisses per SMS. Kündigungen bedürfen der einfachen Schriftlichkeit.

- OGH 5 Ob 133/10k:Bei Schriftformgebot nach dem Mietrecht ist einfache eMail nicht ausreichend, erfordert qualifizierte Signatur (Sicherung des Übereilungsschutzes)

Anmerkung(en):LAG München (11 Sa 54/09): unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)

© ARGE DATEN 2013

ARGE DATEN

Werbung und e-commerce

- Grundsätzlich gelten die ECG-Bestimmungen auch für kommerzielle elektronische-Angebote, bei denen nicht direkt bestellt werden kann

- Allgemeine Werberegeln gelten auch im Internet (UWG, vergleichende Werbung, sittenwidrige Werbung, Verbote von Gewinnversprechen, ...)

- Zusätzlich wichtig ist die Kennzeichnung (§ 6 ECG)- Klare und eindeutige Erkennbarkeit der kommerziellen

Kommunikation (Kennzeichnung als "Werbung", "PR" udgl.)- wer Auftraggeber ist- bei Angeboten zur Absatzförderung

zusätzlich: Zugang zu Bedingungen für die Inanspruchnahme

- bei Gewinnspielen und Preisausschreibenzusätzlich: Zugang zu Teilnahmebedingungen

e-commerce - Marketing

© ARGE DATEN 2013

ARGE DATEN

Internetspezifische Werbeformen- Domainnamen- Keyword Advertising- Meta Tagging- Word Stuffing- Hyperlinks / InFrames- Powershopping

Neben wirtschaftlichen Apekten (UWG, ECG) sind in den meisten Fällen auch urheberrechtliche, namensrechtliche und marken-/ musterschutzrechtliche Aspekte zu beachten

keine dieser Werbemethoden ist grundsätzlich verboten!

Gepflogenheiten, insbesondere Rechtssprechung sollte beachtet werden

e-commerce - Marketing

© ARGE DATEN 2013

ARGE DATEN

OGH 4 Ob 194/05s ("Google Adwords")Ausgangslage

- Bei Eingabe der Marke "GLUCOCHONDRIN" bei Google erschien Werbung der Konkurrenz

- Markeninhaberin klagte Google auf Unterlassung gem. § 18 ECG

- Nach Einleitung der Klage wurde Link entferntEntscheidung

- Google stellt nur Werbeplatz zur Verfügung, nimmt aber keinen bewußten Einfluss auf Inhalt

- Prüfpflicht und Gehilfenhaftung nur bei groben und offensichtlichen Rechtsverstößen gegeben

- Haftung vergleichbar einem Telekom-Anbieter der Mehrwertnummern oder Domainnamen bereitstellt, aber nicht auf Inhalt Einfluss nimmt

- Klage war abzuweisen

e-commerce - Diensteanbieter

© ARGE DATEN 2013

ARGE DATEN

Regelung Bewerberdaten- Bewerber sind keine Mitarbeiter, daher keine

Standardanwendung Registrierungspflicht

- Datenumfang bei Bewerbung unterschiedlich zu Mitarbeiterdaten (z.B. SV-Nummer, steuerrechtliche Angaben) Hinweis auf Erhebung zur rascheren Bearbeitung (überwiegende Interessen des Auftraggebers?)

- Bewerbungen betreffen im Regelfall immer nur eine konkrete Stelle in einem konkreten Unternehmen Löschpflicht nach Ende der Bewerbung, Rücksendung der Unterlagen

- Weitere Evidenzhaltung im selben Unternehmen oder in der gesamten Unternehmensgruppe erfordert die ausdrückliche Zustimmung des Betroffenen(bloße Information reicht nicht)


© ARGE DATEN 2013

ARGE DATEN

Videoeinsatz III

Üblicherweise genehmigt die DSK Videoüberwachungen nur mit typischen Auflagen wie:

- Sicherung der Aufzeichnungen- Beschränkung der Zugriffsberechtigten- Löschungsverpflichtung- eingeschränkte Auswerteberechtigung- Protokollierung der Datenverwendung- sofern Mitarbeiter erfasst werden und ein Betriebsrat

existiert wird Betriebsvereinbarung verlangt


© ARGE DATEN 2013

ARGE DATEN

Verwendung medizinischer Daten

Ausgangslage:- ein Luftfahrunternehmen möchte die Impfdaten Ihres

Flugpersonals weltweit verfügbar machen- eine gesetzliche Verpflichtung zur zentralen Speicherung

besteht nicht- zur Umsetzung des Projekts wird ein Dienstleister

herangezogen- das Projekt ist als Weblösung geplant

datenschutzrechtliche Bewertung:- es handelt sich um sensible Daten, der Dienstleister muss

daher besondere Eignung aufweisen- bei weltweiter Abrufbarkeit durch Dritte muss jeder

Betroffene seine Zustimmung nach §4 DSG geben oder eine Genehmigung bei der DSK für den internationalen Datenverkehr einzuholen sein

- als zusätzliche Datenerfassung ist das System vom Betriebsrat zustimmungspflichtig


© ARGE DATEN 2013

ARGE DATEN

Geldwäschebestimmungen GewO §§ 365m bis 365z

- Vielzahl von Geschäftsfällen betroffen:Handelsunternehmen (ab 15.000 Euro Barzahlung), Immobilienmakler, Unternehmensberater, Versicherungsvermittler

- Umfangreiche Erhebungspflichten für UnternehmenIdentitätsnachweis der Kunden, Eigentums- und Kontrollstruktur des Kunden, "wirtschaftlicher" Eigentümer, Begünstigter

- Zwang zur Verwendung privat betriebener Datenbanken außerhalb der EU"World-Check"-Datenbank nicht gesetzlich, aber de facto erforderlich

- Unternehmen laufen Gefahr in Rechtskonflikte zu kommenumfassende Meldepflichten, auch bei bestehenden Geschäftsverbindungen, müssen Geschäftstätigkeiten beurteilen

Hohes Konfliktpotential zu Datenschutzinteressen!

Besondere Bestimmung in GewO

© ARGE DATEN 2013

ARGE DATEN

Verantwortung spezifischer Diensteanbieter(§§13-17 ECG)

- Durchleitung von Informationen (§13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa eMail

- Suchmaschinen (§14)

Keine Verantwortung unter bestimmten Umständen:1. die Übermittlung/Abfrage nicht veranlasst,2. den Empfänger der übermittelten/abgefragten

Informationen nicht auswähltund

3. die übermittelten/abgefragten Informationen weder auswählt noch verändert.

Auskunftspflicht im Fall §13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung

gerichtlichstrafbarer Handlungen


© ARGE DATEN 2013

ARGE DATEN

Verantwortung spezifischer Diensteanbieter II(§§13-17 ECG)

- Zwischenspeicherung (Caching) von Informationen (§15)

Keine Verantwortung unter bestimmten Umständen:1. Keine Änderung der Information,2. Bedingungen zum Informationszugang werden beachtet

[z.B. kein allgemein zugänglich machen gesperrter Information],

3. Aktualisierung gemäß "Industriestandard" (?!),4. Technologien zum Sammeln von Informationen lt.

"Industriestandard" dürfen nicht beeinträchtigt werden (??) und

5. Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat


© ARGE DATEN 2013

ARGE DATEN

Verantwortung spezifischer Diensteanbieter III(§§13-17 ECG)

- Hosting / Housing von Diensten (§16)- Links auf fremde Dienste (§17)

Keine Verantwortung unter bestimmten Umständen:1. Keine Kenntnis des rechtswidrigen Inhalts und auch keine

Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder

2. bei Kenntnis der rechtswidrigen Tatsache unverzügliches Tätigwerden zum Entfernen des Hinweises/der Inhalte

Erweiterte Auskunftspflichten bei Hosting- gegenüber allen Verwaltungsbehörden- gegenüber beliebigen Dritten, sofern ein überwiegendes

rechtliches Interesse besteht und eine wesentliche Voraussetzung für die Rechtsverfolgung gegeben ist

Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen

wurde


© ARGE DATEN 2013

ARGE DATEN

OGH 6 Ob 218/03g ("Online-Archiv")Ausgangslage

- In einem Online-Archiv findet (falsch) über ein Konkursverfahren

- Betreiber hat Artikel nur übernommen, ist nicht als Content-Provider anzusehen

- Betreiber erfährt erst in der Klage vom Fehler und löscht daraufhin den Beitrag

Entscheidung- Umfang der Verletzung nicht nach ECG zu prüfen, sondern

nach materiellrechtlichen Normen (ABGB, UrhG, UWG, ...)- im Archiv finden sich auch Entgegnungen und

Gegendarstellungen- Klage abgewiesen, da keine aktive Prüfpflicht des

Archivbetreibers- Interesse der Öffentlichkeit höher zu bewerten als

Interesse des Verletzten


© ARGE DATEN 2013

ARGE DATEN

Pflichten der (TK)-Diensteanbieter (§18 ECG)- Keine generelle Überwachungspflicht

(betrifft Dienste §§13-17)es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werdeninkludiert auch das Fehlen genereller Aufzeichnungspflichten

- Auskunftspflicht gegenüber Gerichtenzur Bestimmung von Dienstnutzern mit denen Verträge abgeschlossen wurdenumfasst Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen

- Sonstige Auskunftspflichten bleiben unberührtDSG 2000 - Bestimmungen (Auskunftsrecht, Kontrollrecht DSK)Besondere Ermittlungsmaßnahmen (StPO)


© ARGE DATEN 2013

ARGE DATEN

Informationsfreiheit

Wiener Erklärung zur Informationsfreiheit

Verfasser: Univ.-Prof. Dr. Nikolaus Forgó

Motivation: Recht auf Information, Urheberrechtsinteressen und Datenschutz sind miteinander zu verknüpfen

10 Thesen, einige auszugsweise:

- Digitalisierung und Vernetzung erlauben einzigartige Informationszugänge

- Freie Werknutzungen dienen gesellschaftlichen und wissenschaftlichen Fortschritt

- staatliche Einrichtungen haben Zugang zu öffentlichen Informationen technisch und rechtlich bestmöglich zu erleichtern

- staatliche Sicherung des Zugangs zu Informationen

http://www.chaoscontrol.at/2005/we.htm

© ARGE DATEN 2013

ARGE DATEN


Verwendung "weicher" Personendaten- etwa Antworten aus psychologischen Tests

© ARGE DATEN 2013

ARGE DATEN

Aufbewahrungsdauer bei FlatRate-DatenStellungnahme Art. 29-Gruppe WP69 29.1.2003

- werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden

- auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen)

- einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer

- für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer

Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig

Datenschutzfragen Kommunikation

© ARGE DATEN 2013

ARGE DATEN

Speicherung Kommunikationsdaten

Zulässigkeit / Verbot- Inhaltsdaten dürfen nicht gespeichert werden, sofern es nicht

der Dienst erfordert

Privacy-Gefährdungspotentiale- Einblick in persönliche Kommunikation

- Ausspähen von Interessensprofilen

Handhabung- strafrechtliche Sanktionen (§93/§108 TKG 2003, §119 StGB)

- privatrechtliche (§1328a AGBG)


© ARGE DATEN 2013

ARGE DATEN

Speicherung/Verwendung Verkehrsdaten (Art 6)

Zulässigkeit / Verbot- für Diensterbringung

- für Gebührenabrechnung

- für Kundenanfragen/Support

- zur Ermittlung strafrechtlich relevanter Vorgänge (STPO)

- zur Vermarktung der angebotenen Kommunikationsdienste

- alle anderen Verwendungen bedürfen Zustimmung ("Dienst mit Zusatznutzen") oder sind verboten

Privacy-Gefährdungspotentiale- Einblick in Kommunikationsbeziehungen, Ausspähen von

Interessensprofilen

wird auch auf Protokolldaten von Content-Providern anzuwenden sein


© ARGE DATEN 2013

ARGE DATEN

Datenschutzfragen Internettechniken

SPAM-ProblemUmfang von Spam- 2004: 75% aller Mails Spam (2001: 7%)

- Response von 1:1,000.000 reicht für "erfolgreiche" Aussendung

- 7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam

Gefährdungspotentiale- Belästigung mit unerwünschen Inhalten

- Fehler in Annahme/Ablehnung von Mails

- Beschränkung der Kommunikation aus Angst vor Spam

- Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust)

2002/58/EG (TK-Datenschutzrichtlinie) / TKG 2003- EU-RL sieht Opt-In bei Werbung vor, komplizierte TKG-

Richtlinie

- Sperrliste ist zu beachten

- Anzeigemöglichkeit bei unerwünschter Zusendung

© ARGE DATEN 2013

ARGE DATEN

Intranet - sonstiges

Bedeutung von (Anti-)Spyware/Monitoring- Definition "Was ist Spyware?" (Beispiele: Keylogger)

- Spywarefunktionalität oft auch bei Audit-Software, Monitoring-Software, Remotecontrol-Software, ... gegeben

- Schutzmaßnahmen gegen Spyware zulässig/verpflichtend

- Verpflichtungen des Arbeitgebers / Arbeitnehmers

"Spyware", die die Kommunikationsinhalte der Mitarbeiter kontrolliert wird nicht zustimmungsfähig sein, sondern als unzulässiger Grundrechtseingriff verboten sein

Spyware, die bloß "Verkehrsdaten" aufzeichnet wird an der OGH-Entscheidung zu messen sein

© ARGE DATEN 2013

ARGE DATEN

DSK Empfehlung K210.544("polizeiliche Information")

Ausgangslage- Berufskraftfahrer wird bei privater Autofahrt

Führerschein abgenommen- Mitarbeiter hat sich am nächsten Tag krank

gemeldet- Polizeidienststelle gibt Arbeitgeber "Wink"- Dienstgeber spricht Entlassung aus

Entscheidung- Datenweitergabe durch Polizei war unzulässig- bedeutet nicht automatisch Geheimhaltungsrecht

des Arbeitnehmers

Arbeitsrechtliche Konsequenzen von verschiedenen Faktoren abhängig

DSG 2000 - Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

gemeinsame Verwendung eines TerminkalendersAusgangslage:

- Die Kalendersoftware erlaubt Einsicht in die Termine der Kollegen, eventuell auch Einträge oder Korrekturen

datenschutzrechtliche Bewertung:

- betriebsintern keine Übermittlung, sondern "bloß" gemeinsame Verwendung von Daten

- zulässig, wenn für bestimmte Zwecke (Arbeitsorganisation) notwendig, prüfen ob Betriebsvereinbarung notwendig

- bei Einsatz zu Aufsichtszwecken durch Betriebsrat zustimmungspflichtig

- nicht zulässig, wenn Einsicht bloß aus technischen Gründen erfolgt (keine Berechtigungsverwaltung, ...)

- Regelung für private Einträge erforderlich


© ARGE DATEN 2013

ARGE DATEN

(1) Individuelle Vereinbarungen- Statement zur Datenweitergabe: an wen wird warum

weiter gegeben?

- Statement zur Zustimmung und zum Widerruf der Zustimmung: welche Zustimmungen sind erforderlich, welche Konsequenzen hat ein Widerruf?

- Statement zur Datenerhebung: Offenlegen von Datenquellen, etwa Adressverlage, welche Daten sind verpflichtend bekannt zu geben, welche nicht

- Statement zum Thema Bonitätskontrolle: bei wem werden Kreditinformationen eingeholt?

- Statement zur Verwendung der Daten zu Werbezwecken

- Statement zur Verwendung der Daten zu sonstigen Zwecken


© ARGE DATEN 2013

ARGE DATEN

(2) Informationen zur Datenverwendung- Statement zu Verantwortlichen der Datenverarbeitung

- Statement zu Verwendungszwecken

- Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen

- Statement, welche innerbetrieblichen Stellen die Daten für die Erfüllung des Zweckes erhalten

- Statement, welche Daten verwendet werden

- Statement über technischen Datenfluss: technische Methoden, Verschlüsselung, Archivierung, ...

- Statement zur Speicherdauer

- Statement zu besonderen Sicherheitsmaßnahmen bei Verwendung von sensiblen Daten


© ARGE DATEN 2013

ARGE DATEN

(3) Allgemeine rechtliche Informationen- Hinweis auf geltendes Datenschutzgesetz

- sonstige datenschutzrelevante anzuwendende Bestimmungen: spezifische gesetzliche Bestimmungen, bestehender "Code of Conduct"

- Hinweise zum Schutz besonderer Personengruppen: Maßnahmen zum Schutz von Jugendlichen

- Hinweise zu Beteiligungsverhältnisse und daraus resultierende Datenverknüpfungen


© ARGE DATEN 2013

ARGE DATEN

(4) Technische Informationen zur Datensicherheit

- Statement, welche Übertragungsmethoden verwendet werden

- Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden

- Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden: Plug-Ins, Browsereinstellungen, ...

- Statement zur Individualisierung der Webseiten: Einsatz von Cookies, ...

- Statement zum Zahlungsverkehr: etwa Zahlungsdienstleister

- Statement, welche internen Sicherheitsmaßnahmen gesetzt werden

- Hinweise zur Verbesserung der persönlichen Datensicherheit


© ARGE DATEN 2013

ARGE DATEN

(5) Kontroll-, Beschwerde- & Informationsstelle(n)

- Angaben zur Registrierung von Datenverarbeitungen

- Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit unternehmensintern verantwortlich ist

- Kontaktstelle(n) für Fragen, Beschwerden

- Gesetzliche Beschwerdestelle

- Freiwillig anerkannte Streitschlichtungsstelle

- Freiwillige Schadenersatzregelungen


© ARGE DATEN 2013

ARGE DATEN

Privacy-Initiativen

Was ist P3P?(Platform for Privacy Preferences, derzeit P3Pv1.0)

- Privacy-Empfehlungen des W3-Consortiums (W3C)

- Sicherung der Privatsphäre im Internet auf standardisierter Basis (einheitliches Datenschutzvokabular)

- Privacy-Erklärungen werden programmtechnisch gegen Benutzereinstellungen geprüft

- Konzept vergleichbar den Access-Control-Listen bei Routern

- u.a. Definition von "sicheren Web-Zonen" (safe zone), Ablaufdatum, Gültigkeitsdatum, Validierung von Cookies (Name, Domain, Wert)

- Definition von Tags, wie "Verwendungszweck" (<PURPOSE>), "Empfänger" (<recipient>), ...

- Definition weiterer Tags, wie Ansprechstelle, Beschwerdestelle, ...OECD bietet PRIVACY STATEMENT GENERATOR

© ARGE DATEN 2013

ARGE DATEN

Allgemeine Geschäftsbedingungen (AGB's) § 11 ECG

Nutzer muß AGB's ausdrucken und abspeichern könnenAGB's unterliegen

Geltungskontrolle § 864a ABGB (überraschende Vertragsklauseln)Inhaltskontrolle § 879 Abs. 3 ABGB und § 6 KSchGdürfen keine "überraschenden Vertragsklauseln" enthaltenfür Konsumenten: Transparenzgebot § 6 Abs. 3 KSchG

Verbraucher kann nicht rechtswirksam darauf verzichten


Sonderbestimmungen für Verbraucher- Erweiterte Konsumentenrechte, weitergehend als das ECG

(vergleichbar dem Haustürgeschäft) (§ 5* KSchG)- § 5a KSchG: regelt Vertragsabschlüsse im Fernabsatz

keine gleichzeitige körperliche Anwesenheit der Vertragspartner

- § 5c KSchG sieht erweiterte Informationspflichten vor

Documents

© ARGE DATEN 2013 ARGE DATEN Datenverwendung im Unternehmen Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober