1 / 21

datenschutz :: .eu-datenschutz-RL .datenschutzgesetz 2000

datenschutz :: .eu-datenschutz-RL .datenschutzgesetz 2000. Dr. Wolfram Proksch Technische Universität Wien proksch@law.tuwien.ac.at. .grundlagen. für die nationale Sicherheit, für die öffentliche Ruhe und Ordnung, für das wirtschaftliche Wohl des Landes,

ronli
Download Presentation

datenschutz :: .eu-datenschutz-RL .datenschutzgesetz 2000

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. datenschutz :: .eu-datenschutz-RL .datenschutzgesetz 2000 Dr. Wolfram Proksch Technische Universität Wien proksch@law.tuwien.ac.at 2005 (C) Wolfram Proksch

  2. .grundlagen • für die nationale Sicherheit, • für die öffentliche Ruhe und Ordnung, • für das wirtschaftliche Wohl des Landes, • für die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, • zum Schutz der Gesundheit und der Moral • oder zum Schutz der Rechte und Freiheiten anderer • Was wird geschützt? • Daten? • Privacy! • Wodurch wird geschützt? • EMRK • Art 8 EMRK [Privatsphäre] • Art 10 EMRK [Meinungsfreiheit] • StGG [Staatsgrundgesetz], B-VG, DSG [Datenschutzgesetz 2000] • Art 10a StGG • Einschränkungen? • sog. Grundrechtsschranken Art 10a StGG: Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur aufgrund eines richterlichen Befehles gemäß bestehender Gesetze zulässig.“ 2005 (C) Wolfram Proksch

  3. .ausweitung des überwachungsradius Beispiel : Eine Polizeibehörde, welche die Telefongespräche einer verdächtigen Person überwachen möchte, kontaktiert deren Arbeitgeber. Von diesem erfährt die Behörde, dass alle 800 Mitarbeiter gemeinsam eine einzige GSM-Nummer als Gateway in das betreffende GSM-Netz nutzen. Da eine Eingrenzung auf einen kleineren Personenkreis technisch nicht möglich ist, führt dies bei der Überwachung der Telefongespräche des Verdächtigen zwangsläufig zur Überwachung einer Vielzahl weiterer Personen, welche in ihrer allerdeutlichsten Mehrzahl sehr wahrscheinlich mit den strafbaren Handlungen in keinerlei Zusammenhang stehen. 2005 (C) Wolfram Proksch

  4. Rechtlicher Rahmen • Datenschutz-RL 95/46/EG • Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt vom 23.11.1995, L 281/0031 – 0050 • Telekom.-DS-RL 97/66/EG [ISDN-RL] • Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Amtsblatt vom 30.01.1998, L 024 /0001 – 0008 • E-Communication Datenschutz-RL 02/58/EG • Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt vom 31/07/2002, L 201/37-47 2005 (C) Wolfram Proksch

  5. .datenschutz-RL 95/46/EG • Die allgemeine Datenschutzrichtlinie hat zum Ziel, einen gemeinsamen, gemeinschaftlichen Datenschutzstandard zu errichten und so den Datenschutz innerhalb der EU zu gewährleisten, gleichzeitig aber einen möglichst freien Datenfluss sicherzustellen. • Einbezogen in den Anwendungsbereich der Richtlinie DS-RL sind alle personenbezogenen Daten natürlicher Personen, unabhängig von der Art der Verarbeitung – also sowohl die vollständig, teilweise oder auch gar nicht automatisierte Verarbeitung persönlicher Daten. 2005 (C) Wolfram Proksch

  6. :definition: personenbezogene daten = „alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“ 2005 (C) Wolfram Proksch

  7. .regelungsinhalte • Persönliche Daten dürfen gem Art 6 Abs 1 b, cnur für eindeutig festgelegte und rechtmäßige Zwecke erhoben werden und auch nur dementsprechenden verarbeitet werden. Die Daten müssen sachlich richtig erhoben worden sein. Sie müssen - wenn nötig - aktualisiert werden und dürfen nicht länger als für die Verwirklichung der Zwecke ihrer Erhebung aufbewahrt werden. Gegen eine zweckentfremdete Erhebung und Verarbeitung hat der Betroffene ein kostenloses Widerspruchsrecht nach Art 14 (2). • Art 7 der DSRL legt konkrete „Erlaubnistatbestände“ fest – also Sachverhalte, die erfüllt sein müssen, damit eine Erhebung, Verarbeitung und Nutzung tatsächlich zulässig ist. • Diese System wird insgesamt als zweistufiges Zulässigkeitskonzept bezeichnet. Zuerst müssen die allgemeinen Voraussetzungen des Art 6 vorliegen. Nach Art 7 bestimmt sich dann die Zulässigkeit im Einzelfall: – Die nötige Einwilligung des Betroffenen, die Notwendigkeit der Erhebung bzw. Verarbeitung der Daten für die Erfüllung vertraglicher oder rechtlicher Pflichten, etc. 2005 (C) Wolfram Proksch

  8. Art 8 legt besondere, strenge Voraussetzungen für die Verarbeitung speziell sensibler Datenkategorien fest. Hierunter fallen – etwa ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder auch Daten über Gesundheit oder Sexualleben.; • Die betroffenen Personen erhalten spezielle Informationsrechte, welche von der verarbeitenden Stelle gewährt werden müssen. Diese Informationspflichten und Rechte sind in Art 10 bis 13 geregelt; insbesondere wird den Betroffenen ein Auskunftsrecht, ein Einsichtsrecht in die erhobenen Daten, ein Recht auf Richtigstellung und gegebenenfalls Löschung von personenbezogenen Daten eingeräumt. • Nach Art. 15 haben die Mitgliedstaaten zu gewährleisten, dass niemand einer rechtlichen Entscheidung mit erheblichen Folgen unterworfen wird, welche ausschließlich aufgrund automatisierter Verarbeitung personenbezogener Daten ergeht; [Verbot automatisierter Einzelentscheidungen] 2005 (C) Wolfram Proksch

  9. Die für die Verarbeitung der Daten Verantwortlichen müssen geeignete technische und organisatorische Maßnahmen für die Vertraulichkeit und Sicherheit der persönlichen Daten treffen [Art 16, 17] und damit den Schutz der Daten etwa gegen zufälligen Verlust, Zerstörung, unberechtigte Weitergabe, etc. gewährleisten; • Die Verarbeitung von Daten und der Zweck der Verarbeitung sind bei von den Mitgliedstaaten eigens einzurichtenden, öffentlichen und unabhängigen Kontrollstellen zu melden, bevor mit der Datenverarbeitung begonnen wird; • Entsteht jemandem jemand durch unrechtmäßige Datenverarbeitung ein Schaden (auch allfällige ideelle Schäden sind umfasst), so führt dies zur Schadenersatzpflicht des für die Verarbeitung Verantwortlichen [Art 23] 2005 (C) Wolfram Proksch

  10. .exportkontrolle • die Mitgliedstaaten müssen gewährleisten, dass personenbezogene Daten aus der europäischen „Datenschutzzone“ nur in jene Länder außerhalb der EU exportiert werden dürfen, welche einen ebensolchen Datenschutzstandard gewährleisten und wo das Grundrecht „angemessen“ geschützt ist. • Safe-Harbor-Abkommen zwischen EU und USA 2005 (C) Wolfram Proksch

  11. … die beiden anderen RL • Telekom.-DS-RL 97/66/EG [ISDN-RL] Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Amtsblatt vom 30.01.1998, L 024 /0001 – 0008 • E-Communication Datenschutz-RL 02/58/EG Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt vom 31/07/2002, L 201/37-47 2005 (C) Wolfram Proksch

  12. .datenschutz in .at • Allgemeines: • Datenschutz, Medien- und Presserecht = Bundeskompetenz • DSG 1978 als Ausgangsbasis • keine eigenen Landesgesetze, aber teils Durchführungsverordnungen • Sonderbestimmungen in einzelnen Gesetzen (TKG, SigG, etc.) • Datenschutzgesetz 2000 2005 (C) Wolfram Proksch

  13. Umsetzung der RL • DSG 2000 versteht sich als Umsetzung der allgemeinen DSRL • Kritik wegen mangelnder Umsetzung • stellt teils strengere Anforderungen an Datenschutz • DSRL ist nur Mindestmaßstab • DSG 2000 schützt zB auch die Daten von juristischen Personen 2005 (C) Wolfram Proksch

  14. ::grundrecht auf datenschutz • § 1 DSG 2000 [Verfassungsbestimmung] • Grundrecht auf Geheimhaltung der personenbezogenen Daten [natürl. und juristische Personen!], soweit ein schutzwürdiges Interesse daran besteht • Interesse ist ausgeschlossen, wenn die Daten allgemein verfügbar oder auf den Betroffenen nicht rückführbar sind. • Eingriff nur im Rahmen der Grundrechtsschranken • Staat darf nur zur Wahrung wichtiger öffentlicher Interessen gemäß Art 8 (2) EMRKeingreifen • Drittwirkung der Grundrechte(Wirkung gegen Private) : privater Eingriff bedarf der Interessensabwägung 2005 (C) Wolfram Proksch

  15. .allgemeines • Datenschutzkommission = ganz allgemein für die Kontrolle des Datenschutzes sowohl im privaten als auch im öffentlichen Bereich zuständig • Unterscheidung zwischen Daten im privaten und im öffentlichen Bereich fällt größtenteils weg: • Unterschied bleibt jedoch bei der Geltendmachung: • DS-Verletzung durch Private: Klage bei ordentlichen Gerichten • DS-Verletzung durch öffentliche Institutionen (insbes. Behörden): Anrufung der Datenschutzkommission 2005 (C) Wolfram Proksch

  16. .definitionen [ § 4 DSG 2000] • „Verwendung von Daten“ = der neue Überbegriff für jede denkbare Form der Erhebung, Nutzung, Verarbeitung, Aufbewahrung und Übermittlung von personenbezogenen Daten. ~ Verarbeitungsbegriff des Art 2(b) der DSRL • „Auftraggeber“ = jene natürliche oder juristische Personen, welche die Verwendung von Daten veranlaßt bzw. zu verantworten hat • ist für Einhaltung der DS-Bestimmungen verantwortlich • hat Vorkehrungen zur Datensicherheit zu treffen • „Datenanwendung“ = die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte [...], die zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung) •  DSRL (schützt auch manuell verarbeitete Daten !!) 2005 (C) Wolfram Proksch

  17. .verwendung personenbezogener daten • Mehrstufige Zulässigkeitsprüfung: 1. Zweck muss eindeutig festgelegt und rechtmäßig sein;eine später Zweckänderung ist unzulässig, die Daten müssen aktuell sein / laufend aktualisiert werden. Nach Zweckerreichung ist weitere Aufbewahrung der Daten ist grundsätzlich unzulässig [ § 6 DSG 2000 ] 2. Datenverwendung ist überhaupt nur zulässig, wenn dadurch keine schutzwürdigen Interessen verletzt werden. Hierbei wird zwischen sensiblen und nicht sensiblen Daten [ §§ 8, 9 DSG 2000 ] unterschieden: 2005 (C) Wolfram Proksch

  18. nicht sensible Daten dürfen verwendet werden, wenn der Betroffene eingewilligt hat (der Widerruf einer solchen Einwilligung ist jedoch jederzeit möglich), eine Gesetz dies ausdrücklich vorsieht, lebenswichtige Interesse des Betroffenen dies erfordern oder überwiegende Interessen eines Dritten (Privaten) vorliegen Interessensabwägung zwischen schutzwürdigen Interessen des Betroffenen einerseits und jenen des Auftraggebers andererseits sensible Daten [ insb. ethnische Herkunft, politische Meinung, relig. Überzeugung, Gesundheit, Sexualleben], wenn der Betroffene diese Daten selbst veröffentlicht oder seine ausdrückliche (jederzeit widerrufbare) Zustimmung erteilt hat. eine gesetzliche Ermächtigung vorliegt oder diese Verwendung zur Wahrung überwiegend wichtiger, öffentlicher Interessen nötig ist. 2005 (C) Wolfram Proksch

  19. .informationsverbundsysteme Definition: = die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden.  Informationsverbundsysteme bedürfen gem § 18 DSG 2000 der Vorab-Kontrolle durch die DS-Kommission. 2005 (C) Wolfram Proksch

  20. Auftraggeber: aktive Informationspflicht vor Beginn der Verwendung sind der Zweck der Datenverarbeitung und die Identität des Auftraggebers mitzuteilen Verletzung der DS-Bestimmungen = Verwaltungsübertretung: § 52 DSG 2000 Betroffene: Auskunftsrecht [ § 26 DSG ] Recht auf Löschung und Richtigstellung Beschwerde bzw. Klagsrecht (bei ordl. Gerichten & DS-Komm.) Widerspruchsrecht wegen Geheimhaltungsinteresse Anspruch auf Schadenersatz § 33 DSG 2000 .pflichten & rechte § 51 DSG 2000 - Strafbestimmung: „Datenanwendung mit Gewinn- oder Schädigungsabsicht“ (Freiheitsstrafe bis 1 Jahr) 2005 (C) Wolfram Proksch

  21. … end of privacy 2005 (C) Wolfram Proksch

More Related