© ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19....
-
Upload
melusina-drawbaugh -
Category
Documents
-
view
113 -
download
4
Transcript of © ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19....
© ARGE DATEN 2012
ARGE DATEN
Datenschutz & DatensicherheitHans G. Zeger, ARGE DATEN
ZiT, Wien, 19. April 2012
© ARGE DATEN 2012
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATEN
Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat
- Newsletter: rund 4.500 Abonnenten
- 2011: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2011: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2011: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
A-CERT - Zertifizierungsdienstleister gem. SigG
ARGE DATEN
© ARGE DATEN 2012
ARGE DATEN
Geplanter Ablauf
Grundlagen DSG 2000
IT-Sicherheit vs. Datenschutz
Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Umsetzung der EU-Richtlinie "Datenschutz" (1995)
soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern
Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."
EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position
DSG 2000 - Grundlagen
© ARGE DATEN 2012
ARGE DATEN
DSG 2000 - Grundrecht
Einschränkungen des Verbots ist möglich:- mit der Zustimmung des Betroffenen- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung persönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
© ARGE DATEN 2012
ARGE DATEN
DSG 2000 § 4 Z 1
"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"
DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"
Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Betriebsdaten), ...
DSG 2000 - Grundlagen
© ARGE DATEN 2012
ARGE DATEN
Personenbezogene Daten
Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)
personenbezogene Daten § 4 Z 1 DSG 2000
sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff)
sensible Daten§ 4 Z 2 DSG 2000
DSG 2000 - Grundlagen
© ARGE DATEN 2012
ARGE DATEN
DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)
DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)
DSG 2000 - Grundlagen
© ARGE DATEN 2012
ARGE DATEN
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 6"Datei"
"strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"
DSG 2000 § 4 Z 7,,Datenanwendung''
"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"
DSG 2000 § 4 Z 8" Verwenden von Daten"
"jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"
© ARGE DATEN 2012
Verwenden von Daten
Z 8
Übermitteln Verarbeiten
Z 9
Z 12
Daten-anwendung
Z 7
Auftraggeber
Z 4
Dienstleister
Z 5
AuftragÜberlassen
Z 11
Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...
DSG 2000 - Grundlagen
Die wichtigsten Begriffe (§ 4 DSG Z ...)
ARGE DATEN
© ARGE DATEN 2012
ARGE DATEN
DSG 2000 - Grundlagen
Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)
Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)
Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)
Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)
Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4)
120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren
© ARGE DATEN 2012
ARGE DATEN
Grundlage einer rechtmäßigen Datenverwendung
Dreistufiges Konzept
Es muss eine Rechtsgrundlage für die Datenanwendung geben und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)
Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff)
Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff)
Beispiel: Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden?
DSG 2000 - Grundlagen
© ARGE DATEN 2012
ARGE DATEN
Geplanter Ablauf
Grundlagen DSG 2000
IT-Sicherheit vs. Datenschutz
Strafbestimmungen
© ARGE DATEN 2012
IT-Sicherheit
Was ist IT-Sicherheit?
technische Sicht:- Sicherung der Herkunft (Authentizität, Integrität)
- Sicherung der Vertraulichkeit- Sicherung der Verfügbarkeit
- allgemeine Betriebssicherheit (OS, Applikationen, Geräte, Netzwerk, Operating, Prozesse, ...)
- Katastrophenschutz
Deliktschutz: betrifft alle Sicherheitsbereiche- Delikte sind nur ein Auslöser unter vielen- andere sind: etwa Fahrlässigkeiten, Unwissenheit
der Mitarbeiter, Fehleinschätzungen der Geschäftsführung, ...... ist das die einzige Sichtweise? ...
ARGE DATEN
© ARGE DATEN 2012
IT-Sicherheit
Sorgen sicherheitsbewußter IT-Manager
(CapGemini 2007)
Bedrohung:1 = hoch,6 = nicht gegeben
20072006
ARGE DATEN
© ARGE DATEN 2012
Eurobarometerumfrage 2011
Was wird überhaupt als personenbezogene Information gesehen? (EU27 / AT / max / min)
- Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL
- Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL
- Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT
- Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO
- mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG
- private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE
/ 8% CY
- besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO
Länder mit höchsten Datenschutzbewusstsein:Deutschland, Niederlande, Großbritannien, Österreich
ARGE DATEN
© ARGE DATEN 2012
Eurobarometerumfrage 2011
Datensicherheit und Internet (EU27 / AT / max / min)
- 66% der Befragten verwenden Internet
- Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT
- achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE
/ 13% BG
- Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO
- suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT
/ 24% EE / 8% RO
- verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT
/ 6% MT
- keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL
/ 34% LT
Länder mit höchsten Datenschutzbewusstsein:Deutschland, Niederlande, Schweden, Österreich
ARGE DATEN
© ARGE DATEN 2012
IT-Sicherheit
Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy)
IT-Sicherheit behandelt vorrangig technische FragenWas ist machbar? Was ist möglich?Im Zentrum stehen Abwehrszenarien
Datenschutz behandelt vorrangig (grund)rechtliche Fragen
Was ist erwünscht?Im Zentrum stehen
Gestaltungsszenarien
Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz
Datenschutz
Zugriffsschutz, Protokollierung,
Rechteverwaltung, Ausspähen von
Daten, Datenbeschädigun
g,Passwörter
IT-Sicherheit
Grundrechtliche Fragen ohne direkten IT-Bezug:
Zweckbindung, Melde- und Offenlegungspflichten,
Beobachtungsschutz, infomationelle
Selbstbestimmung
ARGE DATEN
© ARGE DATEN 2012
DSG 2000 - Sicherheitsbestimmungen
Sicherheitsbestimmungen (§ 14)
Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:
Stand der Technik entsprechend
wirtschaftlich vertretbar
angemessenes Schutzniveau muss erreicht werden
In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch,
das 2007 in Version 2.3 vom Ministerrat empfohlen wurde11/2010 wurde Version 3.1 vorgestellt
es gibt jedoch keine Verpflichtung das Handbuch anzuwenden
ARGE DATEN
© ARGE DATEN 2012
DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen
- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten
- Dokumentationspflicht zur Kontrolle und Beweissicherung
- ProtokollierungspflichtInsgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy
verstanden werden!z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinieoder ISO 27001 InformationssicherheitsleitlinieARGE DATEN
© ARGE DATEN 2012
Protokollierungsanforderungen I (§ 14)
Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)
Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)
betrifft auch Abfragenmüssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"
betrifft nur auskunftspflichtige DatenanwendungenÜbermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren
DSG 2000 - Sicherheitsbestimmungen
ARGE DATEN
© ARGE DATEN 2012
Protokollierungsanforderungen II (§ 14)
- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)
- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Internet-Zugriffen!!)
- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind
- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen
- Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist
DSG 2000 - Sicherheitsbestimmungen
ARGE DATEN
© ARGE DATEN 2012
DSG 2000 - Verschwiegenheitsverpflichtung
Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.
Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.
Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.
Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen.
Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6)
ARGE DATEN
© ARGE DATEN 2012
ARGE DATEN
Haftung bei fehlenden DatensicherheitsmaßnahmenOGH Entscheidung (9 Ob A 182/90)
Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.
Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.
Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".
Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!
Sicherheitsmaßnahmen - Haftung
© ARGE DATEN 2012
spezifische Sicherheitsbestimmungen
Bestehende Sicherheitsanforderungen in Ö- Verschlüsselung bei Webapplikationen / in der
DatenübertragungGrundlage: ePrivacy-RL 2002/58/EG
- Besondere Sicherheitsmaßnahmen bei GesundheitsdatenGrundlage: GTelG + GTelVO
- Sicherheit in der elektronischen RechnungslegungGrundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003
- Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler SignaturGrundlage: EG-RL 1999/93/EG, SigG, SigV
- Einsatz der Bürgerkarte in BehördenverfahrenGrundlage: E-GovG
ARGE DATEN
© ARGE DATEN 2012
spezifische Sicherheitsbestimmungen
Bestehende Sicherheitsanforderungen in Ö II
- Medikamentenabrechnung der Apotheken, Videoüberwachung - VerschlüsselungGrundlage: StMV 2004 des Bundeskanzleramtes
- Webapplikationen der BehördenGrundlage: Portalverbundprotokoll pvp 1.8.9, eine privatrechtliche Vereinbarung
- BankomatkassenGrundlage: privatrechtliche Vorgaben des Betreibers
- e-card/GINA-Box + Peering-Point der ÄrzteGrundlage: privatrechtliche Vereinbarungen
ARGE DATEN
© ARGE DATEN 2012
ARGE DATEN
Geplanter Ablauf
Grundlagen DSG 2000
IT-Sicherheit vs. Datenschutz
Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Schadenersatz (§ 33)schuldhaftes Verhalten notwendig
bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen
bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung
Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]
bei Veröffentlichungen in einem Medium gilt Mediengesetz
Entschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen
DSG 2000 - Kontroll- & Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)
- Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer
Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht
Strafausmaß: bis ein JahrDelikt wird zum Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiär
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]
- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer
DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines
rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)
Strafrahmen: bis 25.000,- Euro [bis 31.12.09: 18.890,-]zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)
Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 13. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]
6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.
Strafrahmen: bis 10.000,- Euro [bisher: 9.445,-]
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]
neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)
Strafrahmen: bis 500,- Euro [neu]
Verfallbestimmungen § 52 Abs. 4Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden
DSG 2000 - Strafbestimmungen
© ARGE DATEN 2012
ARGE DATEN
Umsetzung Sicherheitsanforderungen
Konsequenzen mangelhafter IT-Sicherheit- Verwaltungsstrafe: nach DSG § 52 Abs. 2
Verwaltungsübertretung mit Strafe bis 10.000 Euro
- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung
- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen
- immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen § 33 DSG, § 1328a ABGB, Medienrecht
- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB
- Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit
© ARGE DATEN 2012
ARGE DATEN
Ich danke für Ihre Aufmerksamkeit
© ARGE DATEN 2012
ARGE DATEN
http://www.argedaten.at/
http://www.dsk.gv.at/
http://ec.europa.eu/justice/policies/privacy/index_en.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
Onlineinformation
http://www.datenschutzverein.de/