CHE
Brin
1/2014
DATENSCHUTZ KONKRET Recht | Projekte | Lösungen Chefredaktion: Rainer Knyrim
Der betriebliche Datenschutzbeauftragte Hans-Jürgen Pollirer
Interview mit Andrea Jelinek Rainer Knyrim, Katharina Schmidt
Praxisprojekt: Datenschutzschulung durch eLearning Markus Oman, Siegfried Gruber
Was sind personenbezogene Daten? Viktoria Haidinger
Datenschutz vor Gericht Ernst M. Weiss
ISSN 2313-5409
CKL
gY Han our O w s-Jü rge n Dev ice nP olli rer
dako.manz.at P.b.b. Verlag Manz 1230 Wien, Gutheil Schoder Gasse 17
ISTE
redaktion
DATENSCHUTZ KONKRET Recht | Projekte | Lösungen
Chefredaktion Rainer Knyrim Dr. Rainer Knyrim ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte. Er hat in Wien, Paris und Graz Jus studiert. Nach absolvierter Rechtsanwaltsausbildung begann er sich zunächst bei einer der größten österreichischen Anwaltskanzleien, dann ab 2003 bei Preslmayr Rechtsanwälte auf das Thema Datenschutz zu fokussieren. 2003 erschien im Verlag Manz sein „Praxishandbuch Datenschutzrecht“ in 1. Auflage. Inzwischen hat er über 100 Vorträge gehalten, ist Autor dutzender Fachartikel und Mitherausgeber des Datenschutzkommentars von Dohr/Pollirer/Weiss/Knyrim. Neben seiner rechtsanwaltlichen Tätigkeit ist er Mitglied der Task Force für Datenschutzrecht der ICC Paris, der International Association for Privacy Professionals, von Privacy Europe und zertifizierter Experte für das europäische Datenschutz-Gütesiegel „EuroPriSe“. „Diese erste österreichische Zeitschrift rein zum Datenschutzrecht soll ihren Platz mitten im Leben all jener haben, die sich mit diesem Thema beruflich bereits auseinandersetzen oder erst damit beginnen. Wir wollen unsere Leser in die Welt des Datenschutzes einführen und sie immer tiefer in diese eindringen lassen. Mir ist besonders wichtig, dass wir – aus der Praxis kommend – für die Praxis schreiben. Und dies kurz, prägnant und nutzbringend – möglichst ‚knackig‘. Ich hoffe außerdem, dass wir unseren Lesern mit dieser Zeitschrift vermitteln können, wie wir Datenschutzrecht empfinden: als berufliche Aufgabe, aber auch als Berufung.“
Redaktionsteam Viktoria Haidinger Mag. Viktoria Haidinger, LL. M., ist Juristin und stellvertretende Leiterin der Stabsabteilung Statistik der Wirtschaftskammer Österreich. Sie ist Absolventin des Lehrgangs für Informationsrecht und Rechtsinformation (jetzt: Informations- und Medienrecht) der Universität Wien und war danach bei Preslmayr Rechtsanwälte mit Schwerpunkt Datenschutzrecht und IT-Recht als Rechtsanwaltsanwärterin tätig. Diese Themen beschäftigen sie auch weiterhin beruflich, darunter sowohl das allgemeine Datenschutzrecht als auch die spezifisch statistikrechtlichen Bestimmungen. Sie ist seitens der Wirtschaftskammer Österreich als fachkundige Laienrichterin für den Bereich Datenschutz am Bundesverwaltungsgericht nominiert. „Die häufig anzutreffende Abwehrhaltung gegenüber dem Datenschutzrecht erklärt sich für mich aus seiner Komplexität und der mangelnden Vermittlung im Rahmen des rechtswissenschaftlichen Studiums. Gleichzeitig kommt man als Führungskraft, Betriebsrat oder Personalverantwortlicher ständig damit in Kontakt. Die neue Zeitschrift hat den Anspruch, diese Komplexität aufzulösen und für diese Zielgruppe verständlich aufzubereiten.“
redaktion
Markus Oman Mag. Ing. Markus Oman, CSE, hat an der Universität Linz Betriebswirtschaftslehre studiert und ist geschäftsführender Gesellschafter der 2002 gegründeten, in Österreich und Deutschland ansässigen O.P.P. – Beratungsgruppe. Zuvor war er als Prokurist und Geschäftsführer in internationalen „Big4“-Wirtschaftsprüfungs- und Unternehmensberatungsgesellschaften tätig. Er ist Autor von zahlreichen Fachartikeln und Autor bzw. Mitautor mehrerer Bücher. Markus Oman ist allgemein beeideter und gerichtlich zertifizierter Sachverständiger für das Fachgebiet der Unternehmensberatung. „Die Zeitschrift ‚Datenschutz konkret‘ liefert nicht nur Lösungen zum Datenschutz, sondern auch zu den technischen und betriebswirtschaftlichen Fragen!“
Hans-Jürgen Pollirer Prof. Kommerzialrat Hans-Jürgen Pollirer ist seit 1975 Eigentümer und Geschäftsführer der Firma Secur-Data Betriebsberatungs-GmbH. Er ist allgemein beeideter und gerichtlich zertifizierter Sachverständiger für Arbeitsorganisation, Betriebsorganisation und EDV und war von 2002 – 2014 Obmann der Bundessparte „Information und Consulting“ der Wirtschaftskammer Österreich. Neben mehreren weiteren Tätigkeiten als Vorstandsmitglied verschiedener Organisationen ist er auch Mitautor von Dohr/Pollirer/Weiss/Knyrim, Kommentar zum Datenschutzgesetz. „Wer die Kombination aus datenschutzrechtlichem bzw. sicherheitstechnischem Know-how einerseits und die praxisbezogenen Antworten auf seine Fragen zu diesen für jede Organisation immer wichtiger werdenden Fachgebieten andererseits sucht, findet in der Zeitschrift ‚Datenschutz konkret‘ einen verlässlichen Partner.“
Ernst M. Weiss Hofrat Dr. iur. Ernst M. Weiss wurde 1964 zum Richter ernannt und war fast drei Jahrzehnte Handelsrichter. Seit 1997, nach der Versetzung in den Ruhestand, ist er als Richter in der Schiedsgerichtsbarkeit tätig. Mit dem Datenschutz befasst er sich seit 1978 (erste Artikel in EDV & Recht), 1988 erschien die Erstauflage des Datenschutzgesetzes von Dohr/Pollirer/Weiss und 2002 der Kommentar zum DSG 2000 als Loseblattausgabe sowie 2010 das Taschenbuch von Pollirer/Weiss/Knyrim, 2. Aufl. 2014. Dazwischen hielt Ernst M. Weiss immer wieder Seminare zum Datenschutzgesetz, aber auch fachspezifische Vorträge etwa für fachmännische Laienrichter aus dem Handelsstand sowie für Mediatoren. „Wenn man fast vier Jahrzehnte mit dem Datenschutzrecht befasst ist, muss man das sich ständig erneuernde Fachwissen einfach weitergeben, zumal immer mehr Personen und Institutionen mit mehr oder weniger schwierigen Problemen des österreichischen und internationalen Datenschutzrechts konfrontiert werden.“ Fotos: Fotostudio Huger
Bestellkarte
Porto zahlt Empfänger oder faxen an: (01) 531 61 455
Senden Sie mir (uns) bitte: „Early Bird“ Abo „Datenschutz konkret“ bis 31.12. 2014 Heft 2/2014 + Abonnement 2015 (insgesamt 6 Hefte) um nur EUR 98,– statt EUR 148,– * (inkl. Versand im Inland) *Falls ich nicht vor Erhalt des letzten Heftes kündige, erhalte ich die Zeitschrift weiterhin im Abonnement. Das Jahresabonnement ist sodann jeweils nach Rechnungslegung für das kommende Jahr zur Gänze im Voraus zur Zahlung fällig. Preise inkl. MWSt. und Versand im Inland. Lieferung unter Eigentumsvorbehalt – auch für künftige Lieferungen. Zeitschriftenabonnements verlängern sich automatisch um ein weiteres Jahr, wenn nicht spätestens sechs Wochen vor Jahresende eine schriftliche Kündigung erfolgt. Irrtum und Preisänderungen vorbehalten. Ich bin damit einverstanden, dass ich gelegentlich insbesondere per Fax, per E-Mail oder telefonisch über Neuerscheinungen des MANZ Verlages informiert werde und dass meine Daten zu diesem Zweck gespeichert und verwendet werden. Die Zustimmung kann jederzeit schriftlich widerrufen werden. Vertragsrücktritt berechtigt. Prospektstand: September 2014. Als Gerichtsstand wird Wien vereinbart. KUNDENNUMMER FIRMA
R3829
An MANZ Verlags- und Universitätsbuchhandlung Bestellservice
NAME STRASSE ∙ PLZ ∙ ORT E-MAIL T EL EFON ∙ FA X DAT U M ∙ U N T ER SCHR IF T
Kohlmarkt 16 1014 Wien
Beiräte Univ.-Prof. Dr. Gerhard Baumgartner, Kärnten
Dr. Eckhard Riedl, Wien
Leiter des Bereichs Öffentliches Recht an der Alpen-Adria Universität Klagenfurt
Leiter der Abteilung Rechtliche Angelegenheiten des Datenschutzes und der EDV des Bundeskanzleramtes, Ersatzmitglied des Datenschutzrates
Mag. Andrea Dillenz, LL. M., Wien Datenschutzbeauftragte, Boehringer Ingelheim RCV GmbH & Co KG
DI. Dr. Franz Rovenszky, Wien Ethics and Compliance Officer der Eli Lilly GmbH
ao. Univ.-Prof. Mag. Dr. Monika Drs, Wien
Mag. Max Schrems, Wien
Universitätsprofessorin am Institut für Österreichisches und Europäisches Arbeitsrecht und Sozialrecht
Vorstand des Vereins Europe vs. Facebook
Dr. Eva Souhrada-Kirchmayer, Wien Mag. Wolfgang Goricnik, MBL, Salzburg
Richterin am Bundesverwaltungsgericht
Leiter des Referates Wirtschaft & Recht der AK Salzburg und Laienrichter für den Fachbereich Datenschutz am Bundesverwaltungsgericht
Dr. Josef Souhrada, Wien Direktor Abteilung Recht/Personal, Hauptverband der österreichischen Sozialversicherungsträger
Dr. Markus Grubner, Niederösterreich Vizepräsident des LVwG Niederösterreich
Dr. Mathias Vogl, Wien
Dr. Christopher Kuner, Brüssel
Leiter der Sektion III – Recht, Bundesministerium für Inneres
Rechtsanwalt, Hon.-Prof. Univeristät Kopenhagen, Gründer des European Privacy Officers Forum
MMag. Barbara Wagner, Wien
Mag. Daniela Lackmayer, Steiermark Datenschutzbeauftragte der Energie Steiermark AG
Mag. Georg Lechner, Wien
Abteilungsleitung Rechtsberatung inklusive Datenschutzrecht, BAWAG P.S.K. AG
Dr. Maximilian Wellner, Oberösterreich General Counsel/Compliance Manager der Greiner Holding AG
Hofrat der Datenschutzbehörde
Christoph Wenin, Niederösterreich Mag. Judith Leschanz, Wien Leitung National Data Privacy, A1 Telekom Austria AG
Datenschutzbeauftragter und Informationssicherheitsbeauftragter der Rewe International AG
editorial & inhalt
Rainer Knyrim Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte
Datenschutz konkret Sie halten das erste Heft der Zeitschrift „Datenschutz konkret“ in den Händen. Diese wird Sie künftig fünfmal im Jahr über Datenschutz – Recht, Projekte und Lösungen – informieren: n Recht Wir bringen Ihnen dieses komplexe Rechtsgebiet in übersichtlichen Portionen näher. Fachartikel zu Praxisthemen, praxisrelevante Entscheidungen und Judikaturrückblicke zu Fragen, die regelmäßig auftauchen, werden Sie einschulen und laufend fortbilden. n Interview Jedes Heft beginnt mit einem Interview einer Person, die in der Praxis arbeitet und/oder eine wichtige Rolle im Datenschutzrecht spielt. Es freut uns, dass wir für das erste Heft Frau Dr. Jelinek, die neue Leiterin der Datenschutzbehörde, gewinnen konnten. n Projekte und Lösungen Wir wollen nicht einfach nur Probleme aufzeigen, sondern Ihnen auch Lösungen präsentieren. Neben einem Bericht über ein Praxisprojekt, in dem wir die Lösung einer Aufgabenstellung durchgehen, wird es in jedem Heft eine Checkliste geben, die es Ihnen ermöglicht, anhand einer Fragenliste ein Thema lösungsorientiert abzuarbeiten. Auch bei der Judikatur achten wir darauf, Ihnen in einer kurzen Kommentierung die Auswirkungen der Entscheidung auf Ihre Lösungen in wenigen Worten näherzubringen. n Aktuell Die Zeitschrift wird sich mit aktuellen Praxisthemen befassen und keine abstrakten oder rechtshistorischen Untersuchungen machen. Besonders die letzten Seiten werden wir aktuell mit Kurznachrichten zu Entscheidungen oder Vorfällen, mit Publikationen und Seminarhinweisen füllen, damit Sie informiert sind, was in der Welt des Datenschutzrechts gerade los ist. n Von wem? Ich habe als Chefredakteur ein Team von ausgewiesenen Datenschutzexperten zusammengestellt, die über viele Jahre Praxiserfahrung verfügen, gleichzeitig aber unter Beweis gestellt haben, dass sie ihr Wissen auch in schriftlicher Form weitergeben können. Der Zeitschrift steht ein Beirat zur Seite, für den wir Vertreter der wichtigsten Player im Datenschutzrecht gewinnen konnten. Näheres entnehmen Sie bitte dem Umschlag dieses Hefts. n Für wen haben wir diese Zeitschrift entwickelt? Für Sie, wenn Sie beruflich mit Datenschutzrecht zu tun haben. Sei es, weil Sie Datenschutzbeauftragter in einem Unternehmen, einer Vereinigung oder einer öffentlichen Einrichtung sind oder weil man Ihnen Datenschutzrecht als Nebenjob „umgehängt“ hat. Weil Sie eigentlich gar nichts mit Datenschutzrecht zu tun haben wollen, aber dennoch dafür verantwortlich sind – im Vorstand, in der Geschäftsführung, Rechtsabteilung, IT-Abteilung, Personalabteilung oder weil Sie Betriebsrat sind. Dann werden Sie und unsere Zeitschrift gute Freunde werden. n Schmeckt Ihnen das? Wir wissen: Datenschutzrecht schmeckt bisher kaum jemandem besonders gut. Und nur wenige wollen sich durchkauen. Da wir aber seit Langem auf den Geschmack gekommen sind, möchten wir Sie mit Datenschutzrecht „einkochen“. Deswegen werden wir Ihnen Datenschutzrecht zubereiten wie ein Sacherwürstel: knackig, saftig, gut und übersichtlich portioniert, aber dennoch mit qualitativ hochwertigen Inhaltsstoffen. Wir hoffen, dass Sie nach diesem ersten Heft auf den Geschmack kommen und Stück für Stück weiter abbeißen. Herzlichst Ihr Dako 2014/1
das interview 2 Datenschutz – ein Grundrecht im Fokus Interview mit Dr. Andrea Jelinek, Leiterin der neuen Datenschutzbehörde
das praxisprojekt 4 Datenschutzschulung durch breit angelegtes eLearning Mitarbeiterschulung im Gesundheitswesen
der beitrag 8 Datenschutz vor Gericht Neue Gerichte und geänderter Instanzenzug nach der Verwaltungsreform
Der betriebliche Datenschutzbeauftragte Persönliche und fachliche Voraussetzungen
die checkliste 12 Bring Your Own Device (BYOD) Private Smartphones, Tablets und Internetdienste beruflich nutzen
der judikaturrückblick 17 Was sind personenbezogene Daten? Informationen, Identifikatoren und Anonymisierung: die Antworten der Judikatur
die entscheidung 20 EuGH, OGH und VwGH Mitteilungspflicht; Widerspruch; SMSNachricht; Löschungsrecht bei Suchmaschinen
das lesen wir 22 Buchtipps das gibt es 23 Seminare; Kongresse; zum Staunen die kurzmeldung 24 Legistik; Judikatur; Verwaltung
Dako 1 | 2014
1
das interview
Katharina Schmidt/Rainer Knyrim Redakteurin Innenpolitik Wiener Zeitung/Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte
Datenschutz – ein Grundrecht im Fokus Interview mit Dr. Andrea Jelinek. Die Leiterin der seit 1. 1. 2014 neuen Datenschutzbehörde spricht über die Neuausrichtung der Behörde, die neue Verwaltungsgerichtsbarkeit und die Verantwortung des Einzelnen. Unternehmen rät sie zu möglichst weitgehenden Datenschutzvorkehrungen. Datenschutz konkret: Sie kommen von der Polizei – zuletzt waren Sie Stadthauptfrau für den 3. Bezirk in Wien, davor standen Sie an der Spitze der Wiener Fremdenpolizei. Haben Sie sich schon in der Datenschutzbehörde (DSB) eingelebt? Andrea Jelinek: Der Datenschutz hat mich mein ganzes berufliches Leben begleitet und ist – gerade, wenn man aus dem Polizeibereich kommt – nichts Neues. Es ist also keine Änderung im Grundsatz, sondern nur eine Spezialisierung. Datenschutz konkret: Und im Behördenalltag selbst? Jelinek: Die DSB ist genauso eine Verwaltungsbehörde wie die Organisationseinheit der Landespolizeidirektion Wien, die ich geleitet habe. Die Unabhängigkeit ist ein großer Unterschied. Aber der Instanzenzug wacht – genauso wie im Polizeiwesen – über die Rechtmäßigkeit der Entscheidungen dieser Behörde. Datenschutz konkret: Die DSB hat seit kurzem ein neues Logo. Wird es noch weitere Neuerungen nach außen geben? Jelinek: Es ist ganz wichtig, Zeichen nach außen zu setzen, die von innen her kommen. Das Logo wurde gemeinsam mit den Mitarbeitern entwickelt, sie haben sich das ausgesucht, was für ihre Behörde steht. Datenschutz konkret: Sie haben den Instanzenzug erwähnt. Mit dem Bundesverwaltungsgericht gibt es eine neue Instanz über der DSB. Gibt es bereits Beschwerden gegen Bescheide der DSB? Jelinek: Ja, im knapp zweistelligen Bereich. Uns sind auch bereits drei Entscheidungen zugestellt worden, die alle die Entscheidungen der DSB bestätigt haben. Noch ist es gesetzlich vorgesehen, dass Entscheidungen der DSB auch im Rechtsinformationssystem veröffentlicht werden können. Soweit ich weiß, sind wir die einzige erstinstanzli-
2 Dako 1 | 2014
che Behörde, deren Bescheide ins RIS gestellt werden. Ich weiß aber nicht, ob das à la longue so sinnvoll ist. Wenn eine Entscheidung im RIS zu finden ist, sollte schon in gewissem Maß Rechtssicherheit gegeben sein. Und die gibt es grundsätzlich erst mit einer Bestätigung durch die Instanz. Datenschutz konkret: Welche Auswirkungen würde das geplante europäische One-Stop-Shop-Verfahren auf die Arbeit Ihrer Behörde haben? Hätte die DSB dann bloß noch eine „Postkasten“-Funktion? Jelinek: Da ich keine Freundin vom Kaffeesudlesen bin und ich auch nicht weiß, wie sich dieses Vorhaben letztlich ausgestaltet, mache ich jetzt sicher keine Prognose. Datenschutz konkret: Was sind für Sie die vordringlichsten Punkte, die europaweit vereinheitlicht werden müssen? Jelinek: Ein einheitliches Verfahrensrecht wäre sehr schön, das ist aber ein Wunschtraum vieler Verwaltungsjuristen in ganz Europa und nicht auf den Datenschutz beschränkt. Alles andere in Bezug auf den Datenschutz ist ein sehr fragiles Konstrukt, da der Datenschutz in Europa von vielen Faktoren bestimmt wird. Österreich hat, wie auch einige andere EU-Staaten, ein sehr hohes Datenschutzniveau. Für mich hat ein grundsätzlich hohes Datenschutzniveau, das die Grund- und Freiheitsrechte der Menschen wahrt, die in Europa leben, die höchste Priorität. Datenschutz konkret: Worauf müssen sich die Unternehmen bei dieser Reform – nach derzeitigem Entwurfsstand – einstellen? Jelinek: Ich halte es für unseriös, heute zu sagen, auf was man sich vorbereiten kann, und dann ist morgen alles wieder anders. Wenn ein angenommener Entwurf daliegt, dann können wir darüber reden.
Datenschutz konkret: Bei den Unternehmen hat man teils das Gefühl, dass sie erst einmal warten, was da kommt, und zuerst einmal gar nichts tun. Jelinek: Es ist die Entscheidung jedes Unternehmenslenkers, wie er sein Unternehmen führt. Mit einer klugen Compliance in Kombination mit einem guten Auge auf den Datenschutz liegt man da nicht falsch. Ich wünsche mir, dass erst einmal alle das nationale Recht einhalten.
Ein hohes Datenschutzniveau, das die Grundund Freiheitsrechte der Menschen wahrt, hat für mich die höchste Priorität. Datenschutz konkret: Im Jänner wurde anlässlich des Europäischen Datenschutztags eine Novelle des Datenschutzgesetzes noch heuer in Aussicht gestellt. Sehen Sie rechtlichen Optimierungsbedarf beim aktuellen DSG? Jelinek: Natürlich gibt es von der DSB Wünsche an eine allfällige Novelle; die werden wir zu gegebenem Zeitpunkt mit dem Verfassungsdienst des Kanzleramts besprechen. Datenschutz konkret: Die DSB kontrolliert zwar, allfällige Strafen werden aber von den Bezirksverwaltungsbehörden verhängt. Wäre es nicht sinnvoller, wenn Sie wieder die Strafkompetenz hätten? Jelinek: Wenn der Gesetzgeber vorsieht, die Strafkompetenz der DSB zu übertragen, werden wir das vollziehen, allerdings ist dann erforderlich, dass er uns auch Planstellen zur Verfügung stellt. Es ist auch eine Frage der Sinnhaftigkeit: Wir haben eine starke beratende Komponente. Es ist ein bisschen janusköpfig, wenn jener, der berät, auch straft. Aber das ist natürlich Sache des Gesetzgebers.
das interview
Datenschutz konkret: In den letzten Monaten ist aus der Sicht des Anwalts eine starke Verfahrensbeschleunigung und Altlastenbereinigung feststellbar. Was ist behördenintern geschehen? Jelinek: Wir haben mit großer Unterstützung aller Mitarbeiter auf bestimmte Bereiche fokussiert und Task Forces gebildet. Datenschutz konkret: Gab es eine interne Umstrukturierung der Behörde, etwa was die Zuständigkeiten der Mitarbeiter betrifft? Jelinek: Früher wurde sehr auf die Kommission fokussiert. Die Kollegen machten die Vorbereitungsarbeit, die Entscheidungen traf die Kommission. Jetzt entscheiden die Mitarbeiter für die Leiterin oder ich selbst entscheide – je nachdem. Datenschutz konkret: Die Grünen haben erst vor kurzem die Befürchtung geäußert, dass die Behörde zu wenig Personal und Mittel hat. Ist die Angst vor einem weiteren Vertragsverletzungsverfahren gerechtfertigt? Jelinek: Nein. Die Behörde kann mit dem ihr zur Verfügung gestellten Personal und Mitteln ihren derzeitigen Aufgaben nachkommen. Das ist sehr oft eine Frage der Struktur und des Zugehens auf die Mitarbeiter. Mir ist wichtig, dass klar ist: Wenn wir technische Expertise benötigen, dann haben wir die Möglichkeit, sie zuzukaufen. Ich halte nichts davon, eine Technikabteilung einzurichten. Denn gerade in diesem sehr komplexen technischen Bereich ist es ganz wichtig, auf dem allerletzten Stand der Technik zu sein. Ich finde es schade, dass hier politisches Kleingeld am Rücken des Datenschutzes gemacht wird. Datenschutz konkret: Im internationalen Vergleich sieht man aber, dass in anderen Ländern auch im Meldeverfahren der Fokus stark auf die organisatorischen und technischen Datensicherheitsaspekte gelegt wird, was in Österreich in der Vergangenheit weniger der Fall war. Jelinek: Natürlich wird ein großer Fokus darauf gelegt, insbesondere im Kontext von Data-breach-Verfahren. Wenn die Unternehmen im Vorfeld danach trachten, dass die Datensicherheit gewährleistet ist, dann gibt es im Nachhinein weniger Probleme, sollte einmal so ein Vorfall sein.
Andrea Jelinek im Gespräch mit Rainer Knyrim
Datenschutz konkret: Sie erwarten, dass sich die Unternehmen darum selbst kümmern? Jelinek: Es ist eine unternehmerische Notwendigkeit, sich darum zu kümmern. Denn die Datensicherheit ist ein großes Argument der jeweiligen Anbieter am Markt. Je sicherer und je überzeugter die Kunden von der Sicherheit ihrer Daten bei dem Unternehmen sind, umso eher werden sie einen Vertrag mit dem Unternehmen abschließen. Es ist also im ureigensten Interesse der Unternehmen, das seriös zu betreiben. Es ist einfach unklug, keinen Wert auf die Datensicherheit zu legen.
Es ist eine unternehmerische Notwendigkeit, sich um Datensicherheit zu kümmern. Gegenüber dem Kunden ist Datensicherheit ein Verkaufsargument. Datenschutz konkret: In früheren Geschäftsberichten der Datenschutzkommission stand zu lesen, dass die Agenden der Behörde wegen der zu dünnen Personaldecke teilweise nicht oder nicht ordentlich erfüllt werden können, insbesondere hinsichtlich der Aufsicht. Wird es in Zukunft wie in anderen Ländern Stichprobenkontrollen geben? Jelinek: Sie können sicher sein, es wird in Zukunft Stichprobenkontrollen geben. Es wird aber noch ein bisschen dauern.
Datenschutz konkret: Aber den Unternehmen droht eine Kontrolle? Jelinek: Das ist keine Drohung, ganz im Gegenteil. Wenn wir feststellen, dass das Datenschutzniveau eingehalten wird, dann ist das wie ein „Gütesiegel“ zu diesem Zeitpunkt. Datenschutz konkret: Inwieweit ist der Datenschutz in der Verantwortung des Staates, inwieweit ist jeder einzelne selbst dafür verantwortlich, mit seinen persönlichen Daten sorgsam umzugehen? Jelinek: Das Grundrecht als klassisches staatliches Abwehrrecht ist die eine Sache. Und es gibt eine ganz große Eigenverantwortung. Dazu kommt als drittes mittlerweile die Möglichkeit, etwa bei Suchmaschinen Postings löschen zu lassen. Auf der anderen Seite stellt sich die Frage, wo die Eigenverantwortung aufhört. Es gibt viele heute 24-Jährige, die mit 16 irgendwelche Fotos gepostet haben, wo sie mehr als angeheitert auf dem Tisch tanzen. Das ist nichts Böses, das ist der Vorteil der Jugend. Die Personalchefs können sich das ja gerne anschauen, das heißt aber nicht, dass sie aufgrund dessen den Stab über einem jungen Menschen brechen sollen. Personalchefs sind erfahrene, erwachsene Menschen, da muss ich doch davon ausgehen können, dass sie nicht aufgrund von fünf Fotos im Internet urteilen.
Dako 1 | 2014
3
das praxisprojekt
Datenschutz konkret: Wie weit sehen Sie die Unternehmen in der Verantwortung hinsichtlich der von ihnen verarbeiteten Kunden- und Mitarbeiterdaten: Dass sie sich aktiv um Datenschutz kümmern und Überblick und Kontrolle haben, was mit diesen Daten gemacht wird? Oder dass diese erst etwas tun müssen, wenn ihnen die DSB „auf die Zehen steigt“? Jelinek: Gesetze gelten – also haben sich die Unternehmen auch an das österreichische Datenschutz-Regime zu halten. Und ich halte es, wie gesagt, für unternehmerisch geboten, sich um den Datenschutz zu kümmern. Es kann sich heute kein Unternehmen mehr leisten, erst dann etwas zu unternehmen, wenn ein Brief von der DSB kommt.
Zum Thema Über die Interviewpartnerin Seit 1. 1. 2014 steht die 1961 geborene Juristin an der Spitze der DSB. Davor war Jelinek lange Jahre in der Legistikabteilung des Innenministeriums als Referentin, von 1998 bis 2003 als Referatsleiterin tätig. Von 2003 bis 2010 war sie Stadthauptfrau des dritten Wiener Bezirks, eine Funktion, die sie auch vor ihrer Berufung in die DSB innehatte. Dazwischen war sie ab Oktober 2010 für ein dreiviertel Jahr interimistische Leiterin der Wiener Fremdenpolizei. Sie verfügt über eine Coaching- und Führungskräftetrainerausbildung, die sie, wie sie sagt, bei allen beruflichen Tätigkeiten „sehr gut brauchen“ kann.
Glossar Datenschutzbehörde (DSB) Die DSB ist für die Einhaltung der Bestimmungen des Datenschutzgesetzes zuständig. Sie hat mit 1. 1. 2014 die frühere Datenschutzkommission abgelöst. Gleichzeitig wurde Dr. Andrea Jelinek Leiterin der neuen Behörde. Im ersten Halbjahr 2014 hat die DSB etwas mehr als 1.200 schriftliche Rechtsauskünfte erteilt, das ist bereits jetzt mehr als im ganzen Jahr 2013. Seit Beginn von Jelineks Amtszeit erteilt die Behörde keine telefonischen Rechtsauskünfte mehr. „Ich erachte es für sinnvoller, komplexe Themenbereiche schriftlich abzuhandeln,
Datenschutz konkret: Es wirkt aber oft so, als hätten die Unternehmen einfach nicht mehr den Überblick, wo die Daten sind und wer etwas damit macht. Jelinek: So, wie man in allen Bereichen Pflichtenhefte hat, wäre das auch im Bereich des Datenmanagements wichtig – etwa in Form einer Datenverantwortungspyramide. Das ist im ersten Moment komplex, aber Unternehmen geben für andere Dinge auch sehr viel Geld aus – und gerade bei der Datenzugriffsberechtigung zahlt sich das aus. Dako 2014/2
da sonst Missverständnisse auftauchen können“, sagt Jelinek dazu. Teilbereiche, die auf besonders starkes Interesse stoßen, kann sie nicht ausmachen. Häufig seien Anfragen zu Videoüberwachungen und zu den Kompetenzen von Vorgesetzten und Mitarbeitern, aber auch allgemeine Anfragen zum gesamten Datenschutzbereich. Auch die Zahl der Entscheidungen ist größer als im vergangenen Jahr – vor allem, was den internationalen Datenverkehr betrifft. Insgesamt hat die DSB 25 Mitarbeiter, davon sind die Hälfte Juristen.
Link www.dsb.gv.at
Markus Oman/Siegfried Gruber Geschäftsführender Gesellschafter O.P.P. – Beratungsgruppe/Senior Berater O.P.P. Beratungs GmbH
Praxisprojekt: Datenschutzschulung durch breit angelegtes eLearning eLearning, Mitarbeiter, Effizienz, Nachweisbarkeit. Mitarbeiter aus dem Gesundheitswesen werden durch eLearning auf interaktive Art datenschutzrechtlich geschult. Der Umgang mit personenbezogenen Daten ist im Alltag moderner Organisationen von Routine geprägt. In Bereichen, in denen primär mit sensiblen Daten gearbeitet wird, wie zB im Gesundheitswesen, ist daher ein besonderes Augenmerk auf den Schutz dieser personenbezogenen Daten zu legen. Vordringlichstes Handlungsziel in dieser Branche ist die Betreuung kranker bzw betreuungsbedürftiger Personen, und
4 Dako 1 | 2014
dies meist im Rahmen eines sehr engen Zeitbudgets. Für eine intensive Beschäftigung mit dem Thema „Datenschutz“ bleibt in der Regel kaum Zeit. Die verfügbaren Ressourcen erlauben es zumeist nicht, einer größeren Anzahl von Mitarbeitern im Rahmen von koordinierten Schulungsmaßnahmen das erforderliche Grundwissen zum Thema des richtigen Umgangs mit personenbezogenen Daten zu vermit-
teln bzw dieses Wissen aufzufrischen und die aktuellen Verhaltensregeln zum korrekten Umgang mit diesen Daten auf aktuellem Stand zu halten. Neben den generellen Bestimmungen zur Wahrung des Datengeheimnisses (§ 15 DSG 2000) bestehen für Beschäftigte im Gesundheitswesen zudem einschlägige berufsrechtliche Pflichten zur Verschwiegenheit über Informationen, die ihnen im Rah-
das praxisprojekt
men ihrer beruflichen Beschäftigung anvertraut oder zugänglich geworden sind.1 Das DSG 2000 sieht in § 15 Abs 2 vor, dass Auftraggeber ihre Mitarbeiter vertraglich zur Einhaltung des Datengeheimnisses, auch über das Ende des Dienstverhältnisses hinaus, verpflichten und über die Folgen einer Verletzung des Datengeheimnisses belehren.2 Diese Verpflichtungserklärung ist meist Teil des Arbeits- bzw Dienstvertrags. Die erforderliche Belehrung erfolgt in der Praxis vielfach durch eine allgemeine datenschutzrechtliche Unterweisung und Vermittlung der innerbetrieblichen Regelungen im Rahmen des Antritts einer Arbeitsstelle bei einem neuen Arbeitgeber. Durch Bereitstellung der betrieblichen Datensicherheitsvorschriften (zB durch Veröffentlichung im Intranet) werden in der Regel die Anforderungen des § 14 Abs 2 Z 6 DSG 2000 zur Dokumentation und Information der Mitarbeiter erfüllt. Nicht zuletzt durch diese Form der Wissensvermittlung ist zu befürchten, dass dieses theoretische Wissen in konkreten Situationen nicht umgesetzt und genutzt werden kann. Zwar ist meist ausreichend theoretisches Wissen vorhanden, dieses kann in realen und eventuell problematischen Situationen aber vielfach nicht kompetent angewendet werden. Um den Anwendungsbezug des theoretischen Wissens zu fördern, wird häufig auf handlungsorientiertes Lernen verwiesen.3 Durch den Einsatz von eLearning zur Wissensvermittlung soll eine deutlich stärkere Praxisorientierung und somit Handlungsorientierung ermöglicht werden. Das Projekt: eLearning als Methode zur interaktiven Wissensvermittlung Unter eLearning werden alle Formen von Lernen verstanden, bei denen elektronische oder digitale Medien für die Präsentation und Distribution von Lernmaterialien und/ oder zur Unterstützung zwischenmenschlicher Kommunikation zum Einsatz kommen.4 Im Rahmen der konkreten Umsetzung im Auftrag eines Betreibers einer großen oberösterreichischen Krankenanstalt wurde ein eLearning-Modul entwickelt, mit dem datenschutzrechtliches Wissen und damit verbundene konkrete Handlungsanweisungen an Mitarbeiter vermittelt werden kann. Dabei sollten insb praxisnahe Beispiele verwendet werden, um einen realen Bezug der
Lernenden zu ihrem persönlichen Arbeitsumfeld, aber auch Privatleben herzustellen. Die Zielgruppe für den Einsatz dieses eLearning-Moduls ist sowohl das medizinische Personal als auch das Personal der Pflege und der Verwaltung. Es werden tausende Personen geschult, deren spezifisches Wissen hier in kurzer Zeit aktualisiert, geprüft und dokumentiert werden soll. Die Lösung Durch das hier beschriebene eLearning-Modul „Datenschutz“ soll eine Sensibilisierung der Mitarbeiter zum sorgfältigen und vertrauensvollen Umgang mit personenbezogenen Informationen erreicht werden. Durch praxisnahe Beispiele soll die Relevanz des Themas im berufsspezifischen Kontext besonders hervorgehoben werden. Besonderes Augenmerk wurde auf eine professionelle didaktische Aufbereitung der von Anwendern häufig als „trocken“ empfundenen Materie gelegt. Zu diesem Zweck nahm der projektverantwortliche technische eLearning-Spezialist an einer Datenschutz-Ausbildung teil, um einerseits selbst entsprechendes Fachwissen zu erwerben und andererseits in der Kommunikation mit den anderen Kursteilnehmern und den Vortragenden Szenarien aus der Praxis zu erläutern. Aufgrund von Erfahrungen aus zahlreichen eLearning-Projekten wurde die maximale Länge des Moduls „Datenschutz“ auf 40 Minuten festgelegt. Innerhalb dieser Zeitspanne sollten Grundbegriffe erläutert, die praktische Anwendung des erworbenen Wissens anhand von Fallbeispielen geübt und schließlich das erworbene Wissen geprüft und das Prüfungsergebnis dokumentiert werden. Durch die multimediale Gestaltung in Form von Grafiken, Video und Text sowie die interaktive Bedienung durch den Benutzer soll die Aufmerksamkeitsschwelle erhöht und der Inhalt attraktiv vermittelt werden. Nach Festlegung der Wissensschwerpunkte wurde die Rohfassung der jeweiligen Module durch den Auftraggeber und die Fachexperten inhaltlich und juristisch geprüft, getestet und (soweit erforderlich) einer Überarbeitung unterzogen. Durch diese Vorgehensweise konnte eine verhältnismäßig kurze Durchlaufdauer erreicht und die vorliegende Version einerseits innerhalb weniger Monate fertiggestellt und andererseits so modular aufgebaut werden, dass in kurzer Zeit Adaptierungen für jede
Branche und Situation durchgeführt werden können. Das eLearning-Modul ist für die Mitarbeiter des Auftraggebers über das Internet abrufbar. Für jeden Mitarbeiter wird ein persönliches Login zur Verfügung gestellt, so dass die einzelnen Module abgerufen und die damit verbundene Wissensüberprüfung nicht auf einmal, sondern auch in Teilschritten erfolgen kann. Nach erfolgreicher Absolvierung stehen die Informationsmodule weiterhin zum Abruf bereit und können jederzeit zur Auffrischung des Wissens verwendet werden. Modul 1: Sensibilisierung Praxisnahe Beispiele aus Berufs- und Privatleben zeigen Situationen des täglichen Lebens, in denen das Recht auf Privatsphäre verletzt wird. Insb wird in diesem Modul auch aufgezeigt, dass eine Verletzung des Rechts auf Datenschutz nicht nur durch missbräuchliche Verwendung von Datenverarbeitungsgeräten erfolgen kann.
Abbildung 1: Privates „Geplaudere“ in der Cafeteria über höchstpersönliche Vorkommnisse im Leben Dritter.
Modul 2: Grundbegriffe In diesem Modul werden datenschutzrechtliche Grundbegriffe und deren praktische Anwendung erläutert. Lernziel ist hierbei, dass der Lernende die wichtigsten Fachbegriffe des Gesetzestextes kennt und versteht, um sie in seinem beruflichen und privaten Kontext anzuwenden. Neben der Erklärung des Begriffs der „personenbezogenen Daten“ und der datenschutzrechtlichen Grundsätze werden in diesem Modul insb auch jene Rechtsbegriffe erläutert, die im Gesetzestext zum „Datengeheimnis“ (§ 15 DSG) enthalten sind (siehe Abbildung 2 auf der nächste Seite). 1 Im Fall eines Krankenhauses wäre dies zB § 54 Ärztegesetz; § 6 Gesundheits- und Krankenpflegegesetz. 2 Jahnel, Handbuch Datenschutzrecht (2010). 3 Mayer/Treichel (Hrsg), Handlungsorientiertes Lernen und eLearning (2004) 3. 4 Kerres, Multimediale und telemediale Lernumgebungen2 (2001) 14.
Dako 1 | 2014
5
das praxisprojekt
Nach der Vermittlung des erforderlichen Wissens besteht anhand von interaktiven Elementen die Möglichkeit zu überprüfen, ob der Inhalt der Wissenselemente richtig verstanden wurde. Nach dem Abspielen einer Video-Sequenz, in der ein Arzt ein Labor beauftragt, die zuvor entnommene Patientenblutprobe zu analysieren, soll der eLearning-Teilnehmer eine kurze Lernzielkontrolle durchführen, indem hier zB nach den datenschutzrechtlichen Rollen der handelnden Personen gefragt wird (siehe nebenstehende Abbildung 3). Als besonderer Fall der Verarbeitung personenbezogener Daten wird erläutert, weshalb es sich hierbei um eine Datenverarbeitung bzw die Verarbeitung sensibler Daten handelt. Abbildung 2: Auswahlmaske zur leichteren Erlernbarkeit
Abbildung 3: kurze Lernzielkontrolle
Abbildung 4: Konsequenzen von Fehlverhalten
6 Dako 1 | 2014
Modul 3: Konsequenzen von Datenmissbrauch In diesem Modul wird neben den Rechtsfolgen aufgrund der Verletzung des Datengeheimnisses gem § 15 DSG 2000 insb auch auf die einschlägigen berufsrechtlichen Konsequenzen der missbräuchlichen Verwendung von personenbezogenen Daten hingewiesen (siehe nebenstehende Abbildung 4). Modul 4: Verhaltensregeln Im Modul „Verhaltensregeln“ werden konkrete Handlungsanweisungen für die Nutzung von IT-Systemen und die Verwendung personenbezogener Daten gegeben. Anhand von konkreten Beispielen aus dem beruflichen Alltag wird erläutert, wie Datenschutz in der Praxis gelebt werden kann. Insb werden hier die Themen des Zugriffsschutzes und die Trennung beruflicher und privater Nutzung von IT adressiert. Modul 5: Lernzielkontrolle über alle Module Zum Abschluss des eLearning-Moduls besteht die Möglichkeit, das erworbene Wissen zu überprüfen. Die erfolgreiche Absolvierung wird dokumentiert und dient dem Nachweis über die Belehrung des Mitarbeiters. Nach Beendigung der Lernzielkontrolle kann der Benutzer sogleich die Auswertung seines Tests einsehen. Nach Abschluss der Lernzielkontrolle stehen die vorangegangenen Module weiterhin zu Informationszwecken zur Verfügung (siehe Abbildung 5 auf der nächsten Seite).
das praxisprojekt
Durch die konsequente Vermittlung von theoretischem Wissen in Verbindung mit praxisnahen Beispielen konnte das erworbene Wissen in der Praxis auch sehr leicht angewendet werden und fand bzw findet sehr großen Zuspruch bei Mitarbeitern und Management. Eine Anpassung des eLearning-Kurses „Datenschutz“ an andere Themen oder auch andere Branchen ist aufgrund des modularen Aufbaus sehr leicht möglich. Dako 2014/3 Abbildung 5: Lernzielkontrolle zum Nachweis der Unterweisung
Projektergebnis Durch den Einsatz von eLearning ist es gelungen, mehrere tausend Mitarbeiter in
kurzer Zeit datenschutzrechtlich zu informieren und einen Nachweis über die dadurch erbrachte Belehrung zu erbringen.
Zum Thema Über die Autoren Mag. Ing. Markus Oman, CSE, ist geschäftsführender Gesellschafter der O.P.P. – Beratungsgruppe. Mag. jur. Siegfried Gruber ist Senior Berater bei O.P.P. – Beratungs GmbH. Kontakt: Tel: +43 (0)699 125 180 89, E-Mail: om@opp-beratung.com, Internet: www.opp-beratung.com
Literatur Jahnel, Handbuch Datenschutzrecht (2010); Kerres, Multimediale und telemediale Lernumgebungen, Konzeption und Entwicklung2 (2001); Mayer/Treichel (Hrsg), Handlungsorientiertes Lernen und eLearning, Grundlagen und Praxisbeispiele (2004).
Hinweis Das eLearning-Modul „Datenschutz“ wurde in Kooperation mit der O.P.P. – Beratungsgruppe (fachliche Verantwortung für den Inhalt) und der Akademie für Gesundheit (technische Umsetzung) erstellt. Einen ersten kleinen Einblick vermittelt das YouTube-Demovideo: www.youtube.com/watch?v=wrfXZIqBhpI
Impressum Medieninhaber und Herausgeber: MANZ’sche Verlags- und Universitätsbuchhandlung GmbH. Sitz der Gesellschaft: Kohlmarkt 16, 1014 Wien, FN 124 181 w, HG Wien. Unternehmensgegenstand: Verlag von Büchern und Zeitschriften. Gesellschafter, deren Anteil 25% übersteigt: Manz Gesellschaft m. b. H., Wien, Beteiligung an Unternehmen und Gesellschaften aller Art, und Wolters Kluwer International Holding B. V. Amsterdam, Beteiligung an Unternehmen. Verlagsadresse: Johannesgasse 23, 1015 Wien (verlag@manz.at). Geschäftsleitung: Mag. Susanne Stein (Geschäftsführerin) sowie Prokurist Dr. Wolfgang Pichler (Verlagsleitung). Redaktion: Dr. Rainer Knyrim (Chefredakteur); Mag. Viktoria Haidinger, LL. M.; Mag. Ing. Markus Oman, BiBu, CSE; Prof. KommR Hans-Jürgen Pollirer; Hofrat Dr. Ernst M. Weiss. E-Mail: dako@manz.at Verlagsredaktion: Mag. Elisabeth Maier, E-Mail: elisabeth. maier@manz.at Druck: Ferdinand Berger & Söhne Ges. m. b. H., 3580 Horn. Verlags- und Herstellungsort: Wien. Grundlegende Richtung: Veröffentlichung von Beiträgen und Rechtsprechung zum Thema Datenschutzrecht. Zitiervorschlag: Dako 2014/Nummer. Anzeigen: Heidrun R. Engel, Tel: (01) 531 61-310, Fax: (01) 531 61-181, E-Mail: heidrun.engel@ manz.at Bezugsbedingungen: Die Dako erscheint 5 Í jährlich. Der Bezugspreis 2014 (1. Jahrgang) beträgt E 148,– (inkl Versand in Österreich). Einzelheft E 35,–. Auslandspreise auf Anfrage. Nicht rechtzeitig vor ihrem Ablauf abbestellte Abonnements gelten für ein weiteres Jahr als erneuert. Abbestellungen sind schriftlich bis spätestens sechs Wochen vor Jahresende an den Verlag zu senden. Formatvorlagen: Zum Download unter www.manz.at/formatvorlagen Hinweis: Auf eine geschlechtergerechte Sprache wird geachtet. Wird jedoch von einzelnen Autoren zugunsten der leichteren Lesbarkeit bloß die männliche oder die weibliche Form verwendet, sind immer beide Geschlechter gleichermaßen gemeint. Urheberrechte: Mit der Einreichung seines Manuskripts räumt der Autor dem Verlag für den Fall der Annahme das übertragbare, zeitlich und örtlich unbeschränkte ausschließliche Werknutzungsrecht (§ 24 UrhG) der Veröffentlichung in dieser Zeitschrift, einschließlich des Rechts der Vervielfältigung in jedem technischen Verfahren und der Verbreitung (Verlagsrecht) sowie die Verwertung durch Datenbanken oder ähnliche Einrichtungen, einschließlich des Rechts der Vervielfältigung auf Datenträgern jeder Art (auch einschließlich CD-ROM), der Speicherung in und der Ausgabe durch Datenbanken, der Verbreitung von Vervielfältigungsstücken an den Benutzer, der Sendung (§ 17 UrhG) und sonstigen öffentlichen Wiedergabe (§ 18 UrhG), ein. Gem § 36 Abs 2 UrhG erlischt die Ausschließlichkeit des eingeräumten Verlagsrechts mit Ablauf des dem Erscheinen des Beitrags folgenden Kalenderjahrs. Dies gilt für die Verwertung durch Datenbanken nicht. Der Nachdruck von Entscheidungen oder Beiträgen jedweder Art ist nur mit ausdrücklicher Bewilligung des Verlags gestattet. Haftungsausschluss: Sämtliche Angaben in dieser Zeitschrift erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr. Eine Haftung der Autoren, der Herausgeber sowie des Verlags ist ausgeschlossen. Grafisches Konzept: Michael Fürnsinn für buero8, 1070 Wien (buero8.com). Impressum abrufbar unter www.manz.at/impressum
Dako 1 | 2014
7
der beitrag
Ernst M. Weiss Richter iR
Datenschutz vor Gericht Neue Gerichte und geänderter Instanzenzug. Die Kontrolle des Datenschutzrechts durch Gerichte und Verwaltungsbehörden nach der Verwaltungsreform. Mit der Errichtung der Datenschutzbehörde (DSB) sowie des Bundesverwaltungsgerichts (BVwG) und von neun Landesverwaltungsgerichten (LVwG) bei gleichzeitiger Adaptierung sowohl des Datenschutzgesetzes als auch des Verwaltungsgerichtshofsgesetzes und des Verfassungsgerichtshofgesetzes hat seit 1. 1. 2014 eine neue Ära in der Verwaltungsgerichtsbarkeit begonnen. Insgesamt sieht die Organisation der Gerichtsbarkeit in Österreich im Zusammenhang mit datenschutzrechtlichen Bestimmungen des Bundesrechts (DSG 2000; SPG etc) und des Rechts der neuen Bundesländer (Landesdatenschutzgesetze, Bauordnungen etc) nunmehr wie in der Tabelle unten dargestellt aus. Justizrichter, Rechtspfleger und Laienrichter Zu den ordentlichen Gerichten sei nur kurz Folgendes ausgeführt: Bezirksgericht Im zivilgerichtlichen Verfahren obliegt den BG für den datenschutzrechtlichen Bereich hier nur der Exekutionsvollzug. Anders im strafrechtlichen Bereich: Alle Delikte mit einem Strafrahmen bis zu einem Jahr Freiheitsstrafe – mit Ausnahme hier das Delikt „Stalking“ (§ 107 a StGB, Beharrliche Verfolgung) – fallen in die Zuständigkeit der BG, also jedenfalls § 51 DSG 2000 (im Folgenden kurz DSG) (Datenanwendung in Gewinn- und Schädigungsabsicht) sowie die gesamte sog „Computerkriminalität“ nach dem StGB, jeweils mit dem leichtesten Grundtatbestand. Landesgericht Die LG entscheiden im privaten Bereich, die Datenschutzbehörde (DSB) – mit Ausnahmen – im öffentlichen Bereich. Den LG kommt die primäre Zuständigkeit in praktisch allen datenschutzrechtlichen Zivilverfahren zu, insb bei Klagen auf Geheimhaltung, Richtigstellung oder auf Löschung von Daten gegen natürliche Personen, Personengemeinschaften oder sonstige Privatrechtsträger (§ 32 Abs 1 DSG) und Kla-
8 Dako 1 | 2014
gen auf Schadenersatz (Vermögensschaden nach § 33 Abs 1 Satz 1 DSG) sowie wegen Verletzung der Privatsphäre (§ 33 Abs 1 Satz 2 bis 3 DSG, auch ideeler Schaden, Entschädigung bis E 20.000,–). Dies gilt in gleichem Maße sowohl für das Handelsgericht Wien (HG Wien) als auch für das Arbeits- und Sozialgericht Wien (ASG Wien); beide kommen nämlich ebenfalls für datenschutzrechtliche Verfahren in Frage. Den mit Strafsachen befassten LG obliegen vorerst bestimmte Aufgaben im Ermittlungsverfahren. Im Hauptverfahren ist der Einzelrichter va für Straftaten, die mit einer ein Jahr übersteigenden Freiheitsstrafe bedroht sind, zuständig; das LG als Schöffengericht (ein Berufsrichter und zwei Schöffen) entscheidet über Taten mit einer fünf Jahre übersteigenden Strafdrohung sowie für bestimmte weitere Verbrechen, wie zB Missbrauch der Amtsgewalt. Im Computerstrafrecht gibt es keine Tatbestände, für die das LG als Geschworenengericht (Schwurgerichtshof: drei Berufsrichter und Geschworenenbank acht Geschworene; betreffend Straftaten, die mit lebenslanger oder einer Freiheitsstrafe mit Untergrenze fünf Jahre und Obergrenze mehr als zehn Jahre bedroht sind) zuständig wäre. Schließlich sind die LG Rechtsmittelgericht gegenüber Urteilen und Beschlüssen der BG, ebenso wie die vier OLG gegenüber den LG (in erster Instanz) und der OGH als letzte Instanz in Zivil- und Strafsachen (Genaueres in Dohr/Pollirer/ Weiss/Knyrim, DSG2 [16. ErgLfg 2014] § 38 Anm 5).
Datenschutzbehörde und Bundesverwaltungsgericht Mit 1. 1. 2014 wurde die Datenschutzkommission aufgelöst; an ihre Stelle trat die neu geschaffene Datenschutzbehörde. Diese erlässt ua Bescheide über Beschwerden bei Verletzung von Betroffenenrechten nach § 31 DSG oder die Genehmigung eines internationalen Datenverkehrs nach § 13 DSG. HINWEIS Nicht nur das DSG, sondern auch Materiengesetze, wie zB das Sicherheitspolizeigesetz (§ 90 Satz 1 SPG, Verletzung von Rechten durch Verwendung personenbezogener Daten in Angelegenheiten der Sicherheitsverwaltung entgegen den Bestimmungen des DSG) prägen den Wirkungsbereich der Datenschutzbehörde! Für datenschutzrechtliche Verfahrensgegenstände aus dem Bereich des Landesrechts sind die Landesverwaltungsgerichte zuständig. Zweite Instanz gegenüber Behörden Das Bundesverwaltungsgericht entscheidet gem Art 130 Abs 1 B-VG neu über Beschwerden n 1. gegen den Bescheid einer Verwaltungsbehörde (VwBeh – zB der Datenschutzbehörde) wegen Rechtswidrigkeit (Bescheidbeschwerde), n 2. gegen die Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt wegen Rechtswidrigkeit (Maßnahmenbeschwerde),
Ordentliche Gerichtsbarkeit
Verfassungsgerichtsbarkeit
Verwaltungsgerichtsbarkeit
Oberster Gerichtshof (OGH)
Verfassungsgerichtshof (VfGH)
Verwaltungsgerichtshof (VwGH)
Oberlandesgerichte (OLG)
Bundesverwaltungsgericht/ Landesverwaltungsgerichte (keine Über- und Unterordnung zwischen BVwG und LVwG)
Landesgerichte (LG)
Datenschutzbehörde (DSB)
Bezirksgerichte (BG)
Tabelle: Neuer Instanzenzug
der beitrag
n
n
3. wegen Verletzung der Entscheidungspflicht durch eine VwBeh (zB der Datenschutzbehörde) (Säumnisbeschwerde) und 4. gegen – die hier nicht relevanten – Weisungen an Schulbehörden.
HINWEIS In den Angelegenheiten des – nach wie vor bestehenden – eigenen Wirkungsbereichs der Gemeinden kann Beschwerde an das Verwaltungsgericht erst nach Erschöpfung des Instanzenzugs erhoben werden. Beschwerdefrist und Beschwerderecht Die Beschwerdefrist ist nunmehr vier Wochen. Legitimiert ist, wer in seinen Rechten verletzt zu sein behauptet oder wer als Partei zur Geltendmachung der Entscheidungspflicht berechtigt zu sein behauptet. Eigenes Verfahrensrecht Das Verfahren ist im neuen Verwaltungsgerichtsverfahrensgesetz (VwGVG) geregelt, subsidiär gilt das Allgemeine Verwaltungsverfahrensgesetz (AVG). Im Beschwerdeverfahren besteht kein Anwaltszwang (anders bei den beiden Höchstgerichten).
Das VwGVG regelt das Verfahren vor den neuen Verwaltungsgerichten, subsidiär ist das AVG anzuwenden. Grundsätzlich entscheidet ein Einzelrichter. Gem § 39 DSG entscheidet in Angelegenheiten dieses Gesetzes jedoch ein Senat, bestehend aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und Arbeitnehmer. Die Geschäftsverteilung 2014 des BVwG sieht drei solcher Senate für Datenschutzangelegenheiten vor. Die Einbringung der Beschwerde erfolgt idR bei der belangten Behörde. Bescheidbeschwerde Ein wegen Rechtswidrigkeit angefochtener Bescheid kann von der VwBeh binnen zwei Monaten durch eine neue Entscheidung (Beschwerdevorentscheidung) ersetzt werden; ansonsten ist die Beschwerde dem BVwG durch die VwBeh vorzulegen.
Gegen die Beschwerdevorentscheidung kann binnen zwei Wochen ein Vorlageantrag bei der Behörde gestellt werden, dh, es möge die Beschwerde dem Verwaltungsgericht vorgelegt werden. Das Verwaltungsgericht entscheidet – im Rahmen der Beschwerdegründe – in der Sache selbst mittels „Erkenntnis“, wenn der maßgebliche Sachverhalt feststeht oder die Sachverhaltsfeststellung durch das Gericht effizienter ist. Liegen diese Voraussetzungen nicht vor, hebt das VwG den angefochtenen Bescheid mit Beschluss auf und verweist die Angelegenheit an die Administrativbehörde zur neuerlichen Entscheidung zurück. Maßnahmenbeschwerde Eine Ausübung unmittelbarer Befehls- und Zwangsgewalt liegt dann vor, wenn einseitig in subjektive Rechte des Betroffenen eingegriffen und hierbei physischer Zwang ausgeübt wird oder die unmittelbare Ausübung physischen Zwangs bei Nichtbefolgung eines Befehls droht. Bei Rechtswidrigkeit (Ausübung sicherheitspolizeilicher Maßnahmen nur in den Fällen und in der Art, die das Sicherheitspolizeigesetz vorsieht) steht die Beschwerde an das Landesverwaltungsgericht (§ 88 SPG) offen. Der Datenschutzbehörde steht nämlich gem § 90 Satz 2 SPG keine Beurteilung der Rechtmäßigkeit einer Ermittlung von Daten durch die Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt zu. Säumnisbeschwerde Säumnis in datenschutzrechtlichen Verfahren: Für das Registrierungsverfahren gilt in allen Fällen die sechsmonatige Entscheidungsfrist des § 73 Abs 1 AVG (ErläutRV 2010, siehe Pollirer/Weiss/Knyrim, DSG2 [Sonderausgabe] nach § 20). Da die Datenschutzbehörde alle Aufgaben der aufgelösten DSK übernommen hat (ErläutRV 2014, siehe Pollirer/Weiss/ Knyrim, DSG2 nach § 35), zB auch die Genehmigung für die Übermittlung von Daten ins Ausland (§ 13 DSG), gilt in all diesen Verfahren das AVG (Art I Abs 2 Z 1 EGVG) und daher auch die Entscheidungspflicht gem § 73 Abs 1 AVG. Im Übrigen ist es nach der Judikatur des VwGH für das Bestehen der Entscheidungspflicht nicht einmal erforderlich, dass das Gesetz das Wort „Entscheidungspflicht“ gebraucht; dies könne sich schon aus der Kompetenz zur Entscheidung erge-
ben (VfGH [Hrsg], Die Gerichtsbarkeit öffentlichen Rechts [1983] 46). Sohin hat die Datenschutzbehörde über alle Anträge (etwa auch Meldungen im Registrierungsverfahren) von Parteien ohne unnötigen Aufschub, spätestens aber sechs Monate nach deren Einlangen, einen Bescheid zu erlassen (§ 18 AVG) bzw nach § 21 Abs 3 DSG vorzugehen oder die Registrierung der Meldung nach § 20 Abs 5 DSG abzulehnen. Geschieht dies nicht, so steht der Partei die Säumnisbeschwerde (wegen Verletzung der Entscheidungspflicht gem Art 130 Abs 1 Z 3 B-VG, wo – im Gegensatz zur Z 1 – nichts von einem Bescheid geschrieben steht) an das Verwaltungsgericht (hier BVwG) nach § 38 Abs 3 DSG iVm § 8 VwGVG offen. Im Säumnisbeschwerdeverfahren kann die belangte Behörde (hier Datenschutzbehörde) den Bescheid oder die gebotene Erledigung (zB § 21 Abs 3 DSG) innerhalb einer Frist von bis zu drei Monaten nachholen. Wenn die Nachholung unterbleibt, ist die Beschwerde unter Anschluss der Akten dem Verwaltungsgericht (hier BVwG) vorzulegen (§ 16 VwGVG zitiert zwar die Z 3 des Art 130 Abs 1 B-VG, spricht aber entgegen dieser Verfassungsbestimmung nur von einem Bescheid und nicht richtig „von einer sonstigen Erledigung“). Verwaltungsgerichtshof Gem Art 133 Abs 6 Z 1 B-VG kann gegen das Erkenntnis eines Verwaltungsgerichts (gem § 15 Abs 1 VwGG binnen sechs Wochen) wegen Rechtswidrigkeit Revision erheben, wer durch das Erkenntnis in seinen Rechten verletzt zu sein behauptet; nach Art 133 Abs 6 Z 2 B-VG aber auch die DSB als belangte Behörde des Verfahrens vor dem Verwaltungsgericht. Grundsatz- und Zulassungsrevision Die Revision ist jedoch nur zulässig, wenn sie von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt, insb weil das Erkenntnis von der Rechtsprechung des VwGH abweicht, eine solche Rechtsprechung fehlt oder die zu lösende Rechtsfrage in der bisherigen Rechtsprechung des VwGH nicht einheitlich beantwortet wird (Art 133 Abs 4 leg cit B-VG). Rechtswidrigkeit liegt im Übrigen nicht vor, soweit das Verwaltungsgericht (oder
Dako 1 | 2014
9
der beitrag
die VwBeh) Ermessen iSd Gesetzes geübt hat.
mit Aufforderung zur Revisionsbeantwortung ein.
Für die Zulassung zum VwGH gilt nun das Revisionsmodell der ZPO.
HINWEIS Das heißt nicht, dass der außerordentlichen Revision ein Erfolg beschieden sein muss; auch hier bestehen – wie bei der ordentlichen Revision – die Möglichkeiten der Abweisung als unbegründet oder Aufhebung der angefochtenen Entscheidung bzw Entscheidung in der Sache selbst.
Der VwGH kann nunmehr auch in der Sache selbst entscheiden, wenn diese entscheidungsreif ist und es im Interesse der Einfachheit, Zweckmäßigkeit und Kostenersparnis liegt. Außerordentliche Revision: Das VwG hat im Spruch seines Erkenntnisses oder Beschlusses mit Begründung auszusprechen, ob die Revision gem Art 133 Abs 4 B-VG zulässig ist (§ 25 a Abs 1 VwGG). Wurde die Revision für nicht zulässig erklärt, steht die außerordentliche Revision zu, wobei neben den Revisionsgründen auch darzulegen ist, warum die Revision trotzdem als zulässig erachtet wird (§ 28 Abs 3 VwGG). Der VwGH kann die außerordentliche Revision nun in nichtöffentlicher Sitzung mit Beschluss zurückweisen, oder der Gerichtshof leitet das Verfahren
Verfassungsgerichtshof (Sonderverwaltungsgerichtshof) Der VfGH erkennt ua über Beschwerden gegen das Erkenntnis (oder den Beschluss) eines Verwaltungsgerichts, soweit der Beschwerdeführer dadurch in einem verfassungsgesetzlich gewährleisteten Recht (hier vor allem § 1 DSG Grundrecht auf Datenschutz) in seinen Rechten verletzt zu sein behauptet (Art 144 B-VG). Dako 2014/4
Zum Thema Über den Autor Hofrat Dr. Ernst M. Weiss ist Mitautor des großen MANZ-Kommentars und des Taschenbuchs zum Datenschutzrecht. Als ehemaliger Berufsrichter ist er noch aktiv in der Schiedsgerichtsbarkeit tätig. E-Mail: e.m.weiss@recht.at
Literatur Fischer/Pabel/N. Raschauer (Hrsg), Handbuch der Verwaltungsgerichtsbarkeit (2014); Fister/Fuchs/Sachs, Das neue Verwaltungsgerichtsverfahren, Taschenkommentar (2013); Knyrim/Horn, Datenschutzverfahren nach der neuen Verwaltungsgerichtsbarkeit, in Jahnel, Jahrbuch Datenschutzrecht und E-Government 2013 (2013) 191.
Hans-Jürgen Pollirer Geschäftsführer der Secur-Data Betriebsberatungs-GmbH
Der betriebliche Datenschutzbeauftragte (DSB) in Österreich Anforderungsprofil, Fähigkeiten und Kenntnisse. Die persönlichen und fachlichen Voraussetzungen des betrieblichen DSB. Einleitung Grundsätzlich ist festzuhalten, dass es in Österreich – im Unterschied zu Deutschland – bis dato keine gesetzliche Verpflichtung gibt, einen betrieblichen Datenschutzbeauftragten (DSB) zu bestellen. Das muss jedoch nicht immer so bleiben. So war im Entwurf der DSG-Nov 2008 unter § 15 a die Einführung eines betrieblichen DSB vorgesehen. Die Umsetzung dieser Bestimmung scheiterte allerdings am Widerstand der WKÖ, die va die vorgesehene Bestellgrenze ab 20 Beschäftigten sowie die Abstellung auf den Betriebsbegriff nach § 34
10 Dako 1 | 2014
Abs 1 ArbVG vehement ablehnte. Nach den Bestimmungen des § 34 Abs 1 ArbVG ist nämlich nicht zwingend die rechtliche Einheit (= Unternehmen) gemeint, sondern jede Arbeitsstätte, die eine organisatorische Einheit bildet, also zB auch jede einzelne Filiale einer Bank oder Lebensmittelhandelskette. Diese Bestimmung hätte somit bedeutet, dass in jeder Filiale – sofern sie die Beschäftigtengrenze von 20 überschreitet, was idR anzunehmen ist – ein eigener betrieblicher DSB zu bestellen gewesen wäre. Auch dem vom BKA im Juli 2012 vorgelegten Entwurf einer DSG-Nov 2012, die un-
ter § 17 a die Einführung eines betrieblichen DSB auf freiwilliger Basis vorsah, blieb eine Umsetzung verwehrt, nicht zuletzt deshalb, weil die Standpunkte der Interessenvertretungen wohl zu stark voneinander abwichen. Auch im Rahmen der geplanten EUDatenschutz-Grundverordnung (EU-DSGVO) ist eine endgültige Festlegung auf die Kriterien für eine verpflichtende Bestellung eines betrieblichen DSB noch nicht in Sicht. So enthielt der Entwurf der Kommission zu einer DS-GVO vom 25. 1. 2012 gem Art 35 die Pflicht zur Bestellung eines
der beitrag
betrieblichen DSB für Unternehmen mit mehr als 250 Mitarbeitern, also für Großbetriebe iSd europäischen Unternehmensdefinition. In diese Gruppe fallen in Österreich 0,4% aller Wirtschaftsunternehmen oder in absoluten Zahlen rund 1.000 Betriebe; der Entwurf war damit aus österreichischer Sicht ein „Minderheitenprogramm“. In der Zwischenzeit ist dieser Vorschlag Geschichte: Am 12. 3. 2014 hat nämlich das Plenum des EP den Entscheidungsvorschlag seines Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), der in seiner Sitzung am 21. 10. 2013 mit großer Mehrheit die Vorlage des Berichterstatters Jan Philipp Albrecht angenommen hatte, bereits in erster Lesung gebilligt. Nunmehr enthält Art 35 die Bestimmung, dass ein betrieblicher DSB dann bestellt werden muss, wenn das datenverarbeitende Unternehmen innerhalb eines Jahres die Daten von mehr als 5.000 Betroffenen oder besonders sensible Daten verarbeitet. Ob diese Grenzziehung praktikabel ist, darf nach Meinung des Verfassers stark bezweifelt werden. Unter dieses Kriterium fällt jede umfangreichere Adressdatei! Unbeschadet der weiteren Entwicklung in Bezug auf eine verpflichtende oder auch freiwillige Bestellung eines betrieblichen DSB auf österreichischer oder europäischer Ebene ist jedenfalls für die Einhaltung der datenschutzrechtlichen Bestimmungen Sorge zu tragen. Insb deshalb, weil die Verletzung des Datenschutzes schwerwiegende Folgen für das Unternehmen haben kann, wie zB: n eine Verwaltungsstrafe bis zu E 25.000,– (§ 52 Abs 1 DSG 2000) bzw E 10.000,– (§ 52 Abs 2 DSG 2000); n immaterieller Schadenersatz bis zu E 20.000,– (§ 33 DSG 2000); n materieller Schadenersatz (zB bei einem schwerwiegenden Data Breach gem § 24 Abs 2 a) in unbestimmter Höhe; n Imageschaden, der im schlimmsten Fall den Untergang des Unternehmens bedeuten kann, und n nicht zuletzt das im Entwurf der DS-GVO vorgesehene exorbitant hohe Bußgeld von bis zu 100 Mio Euro oder 5% des weltweiten Jahresumsatzes (Art 76 Abs 2 DS-GVO).
Fähigkeiten und Haltungen Anforderungsprofil
Beschreibung
Kommunikationsund Didaktikfähigkeiten
Der DSB muss in der Lage sein, das Datenschutzbewusstsein der Mitarbeiter im Unternehmen entsprechend zu erhöhen. Dazu gehören Gesprächsführung, Verhandlungsgeschick, die Fähigkeit, mit Konflikten umzugehen, sowie Kompetenzen in der Rhetorik.
Zuverlässigkeit
Der DSB muss seine Aufgaben gewissenhaft, unparteiisch, uneigennützig, unabhängig und im Bewusstsein, dass er für die Einhaltung der datenschutzrechtlichen Bestimmungen in seinem Unternehmen verantwortlich ist, ausführen. Er hat, bedingt durch seine Aufgabe, besonders auf die Einhaltung der Verschwiegenheitspflicht zu achten.
analytisch-logisches Denken
Der DSB muss über die Fähigkeit verfügen, Sachverhalte und Situationen zielorientiert zu durchdenken, die richtigen Schlüsse zu ziehen und folgerichtige Vorgangsweisen zu entwickeln.
Durchsetzungsfähigkeit
Der DSB muss über die Fähigkeit verfügen, Ziele gegen sachliche und persönliche Widerstände zu erreichen.
Initiative
Der DSB muss über die Fähigkeit verfügen, ohne fremde Veranlassung sinnvolle Ziele zu definieren und in Ergebnisse umzusetzen.
Lernbereitschaft
Der DSB muss bereit sein, fehlende stellenspezifische Qualifikationen durch entsprechende Maßnahmen zu erwerben bzw die vorhandene Qualifikation den sich ständig ändernden Anforderungen des Datenschutzes anzupassen.
Tabelle 1: Fähigkeiten und Haltungen der DSB Berufskenntnisse und Erfahrungen Anforderungsprofil
Beschreibung
Unternehmenskenntnisse
Der DSB sollte die formalen (Aufbau- und Ablaufstruktur) und die informellen Strukturen im Unternehmen ausreichend kennen.
rechtliche Kenntnisse
Der DSB muss die Grundlagen des europäischen Datenschutzrechts und die Regelungen des DSG 2000, die datenschutzrechtlich relevanten Bestimmungen des ArbVG, das TKG 2003 sowie die Gesetze mit bereichsspezifischen Datenschutzbestimmungen, die die Branche seines Unternehmens (wie zB ECG, GTelG, ÄrzteG, BWG, KAKuG) betreffen, sowie die Rechnungslegungsvorschriften, die IKS-Regeln und die innerbetrieblichen Datenschutzvorschriften ausreichend kennen.
technische Kenntnisse
Der DSB muss Grundlagenkenntnisse der Informations- und Kommunikationstechnik besitzen. Er muss über die im Unternehmen eingesetzten Hardware- und Softwaresysteme sowie über die Infrastruktur ausreichend Bescheid wissen. Darüber hinaus muss er Sicherheitsrisken in folgenden Bereichen erkennen und beurteilen können: Videoüberwachung, Zutrittskontrollsysteme, Netzwerksysteme, Hardware, Betriebssysteme, Datenbanktechnologien, Anwendungssoftware. Weiters sind Kenntnisse von organisatorischen und technischen Sicherheitsmaßnahmen sowie die Kenntnis von Sicherheitsnormen und -Standards erforderlich (zB BSI-Grundschutz, ISO/IEC 27000).
betriebswirtschaftliche Kenntnisse
Der DSB sollte auch über ausreichend betriebswirtschaftliche Kenntnisse verfügen, va in den Bereichen Organisationslehre, Planung und Kontrolle sowie Personalwirtschaft, Finanz- und Rechnungswesen und Controlling, Vertrieb, Marketing. Er muss in der Lage sein, Maßnahmenvorschläge selbständig zu erarbeiten, die einen adäquaten Datenschutzstandard im Unternehmen sicherstellen.
Tabelle 2: Berufskenntnisse und Erfahrungen der DSB
PRAXISTIPP Zum Schutz des Unternehmens sollte daher nach Meinung des Verfassers ein verantwortungsbewusster und qualifizierter Mitarbeiter oder ein externer Spezialist für die Wahrnehmung der datenschutzrechtlichen Pflichten bestellt werden. Das Anforderungsprofil Wenn man sich mit dem Anforderungsprofil an den betrieblichen DSB auseinandersetzt, denkt man automatisch an den Ausdruck „eierlegende Wollmilchsau“: Er sollte
im Idealfall eine Mischung aus einem Juristen, einem Informatiker, einem Pädagogen und einem Betriebswirt sein. Da Personen mit diesen Qualifikationen im Unternehmen oder am Arbeitsmarkt kaum zu finden sind, ist es unerlässlich, dass dem betrieblichen DSB seitens der Firmenleitung die Möglichkeit eingeräumt wird, auf externe Spezialisten zurückzugreifen. PRAXISTIPP Wird die Stelle des betrieblichen DSB intern besetzt, so sollte darauf geachtet werden, dass Interessenkonflikte
Dako 1 | 2014
11
die checkliste
vermieden werden. Auf diese Forderung wird in der Praxis wenig geachtet. So sind dem Verfasser aus seiner Beratungstätigkeit Fälle bekannt, in welchen der IT-Leiter oder einer seiner Mitarbeiter diese Funktion ausübt. Das hat zur Folge, dass der betriebliche DSB sich selbst oder seinen Vorgesetzten kontrolliert. Auch die Wahrnehmung dieser Funktion durch den Geschäftsführer ist in der Praxis
nicht selten. Die Bestellung von Mitarbeitern, die im Finanz- und Rechnungswesen tätig sind, sollte ebenfalls vermieden werden. Am besten geeignet ist eine Zuordnung dieser Funktion an die Rechtsabteilung oder die Interne Revision (siehe Tabelle 1 und 2). Das Anforderungsprofil des betrieblichen DSB richtet sich nach dem Unternehmen, für das er bestellt wird. Je größer das Unternehmen ist oder je komplexer die Datenverarbeitung ist bzw je sensibler die ver-
arbeiteten personenbezogenen Daten sind, umso höher werden die Anforderungen an den betrieblichen DSB sein. Da die geforderten Qualifikationen im Betrieb kaum vorhanden sein werden, ist dem für diese Position ausgewählten Mitarbeiter die Möglichkeit zum Besuch von entsprechenden einschlägigen Weiterbildungsveranstaltungen einzuräumen. Weiters wird es idR notwendig sein, vorhandene Defizite durch den Einsatz externer Spezialisten abzudecken. Dako 2014/5
Zum Thema Über den Autor Prof. KommR Hans-Jürgen Pollirer ist Geschäftsführer der Wiener Unternehmensberatung Secur-Data und Co-Autor des Kommentars zum Datenschutzgesetz. E-Mail: hj.pollirer@secur-data.at
Literatur Dohr/Pollirer/Weiss/Knyrim, Kommentar Datenschutzrecht2 (2013); Knyrim, Datenschutzrecht2 (2012); BvD, Das berufliche Leitbild des Datenschutzbeauftragten (2011), www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/leitbild/bvd-leitbild2011.pdf (Stand 3. 7. 2014); Koch, Der betriebliche Datenschutzbeauftragte (2003); Leiter, Der Datenschutzbeauftragte – Theorie und Praxis, ZIR 2014/1; Düsseldorfer Kreis, Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4 f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, Düsseldorf Kreis am 24./25. 11. 2010), www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/24112010MindestanforderungenAnFachkunde.pdf;jsessionid=63101F26E 1712B177FC6A036624718C6.1_cid344?__blob=publicationFile (Stand 3. 7. 2014); Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Die Datenschutzbeauftragten in Behörde und Betrieb (2011), www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf?__blob=publicationFile (Stand 3. 7. 2014).
Hinweis In der nächsten Ausgabe von Datenschutz konkret werden die Aufgaben des Datenschutzbeauftragten behandelt.
Hans-Jürgen Pollirer Geschäftsführer der Secur-Data Betriebsberatungs-GmbH
Checkliste – Bring Your Own Device (BYOD) Das private Smartphone, Tablet und Internetdienste beruflich nutzen. Mitarbeiter wollen ihre privaten Geräte und Software auch im Beruf einsetzen. Der Trend ist geprägt von einer Vielfalt an verschiedenen Geräten mit unterschiedlichen Betriebssystemen. Der Beitrag zeigt die Vor- und Nachteile auf, die sich für Mitarbeiter und Unternehmen ergeben. Prüffragen in Form einer Checkliste unterstützen bei der Einführung einer BYOD-Richtlinie. Alltag in der Mobility-Landschaft Mit der sog „Consumerisation der IT“ löst sich die Grenze zwischen beruflicher und privater IT-Nutzung auf, dh, Systeme, Pro-
12 Dako 1 | 2014
gramme und Dienste werden sowohl im beruflichen als auch im privaten Bereich verwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt in sei-
nem „Überblickspapier Consumerisation und BYOD“ folgende Einsatzbeispiele an: n Mitarbeiter wollen ihre privaten Smartphones und Tablets für dienstliche
die checkliste
E-Mails, Termine und sonstige dienstliche Tätigkeiten nutzen. n Mitarbeiter sind privat an bestimmte Programme, wie zB das Grafikbearbeitungsprogramm GIMP, gewöhnt und möchten diese auch in ihrem Beruf einsetzen. n Mitarbeiter benutzen privat Internetdienste, wie zB Dropbox zur Speicherung von Daten in der Cloud oder Werkzeuge wie Doodle, um Termine abzustimmen, und möchten diese Dienste auch beruflich nutzen. Geprägt war die Mobility-Landschaft lange Zeit durch BlackBerry-Geräte, die höchste Sicherheit und Stabilität garantierten. In der Zwischenzeit haben BlackBerry-Geräte an Attraktivität stark verloren und iPhones und iPads mit dem Betriebssystem iOS haben ihren Einzug in die Unternehmen gefunden. Die gleiche Feststellung trifft auch auf Android-Geräte zu, allerdings verbunden mit dem Problem, dass die verschiedenen Hersteller dieses Betriebssystem um eigene Komponenten ergänzen, sodass von einer einheitlichen Betriebssystemumgebung keine Rede sein kann. Die Vielfalt an verschiedenen Geräten mit unterschiedlichen Betriebssystemen erhöht den Verwaltungsaufwand in der IT-Abteilung wesentlich. Mit dem Begriff „Consumerisation“ verwandt ist der mit der Abkürzung BYOD verbundene Trend. Hier nutzen die Mitarbeiter ihre privaten Geräte (Notebooks, Tablets und Smartphones) nicht nur für private, sondern auch für berufliche Zwecke. Sie greifen damit auf die Server des Unternehmens zu und speichern bzw verarbeiten firmeneigene Daten auf ihren persönlichen Geräten. Die Besonderheit von BYOD liegt in der Tatsache begründet, dass sich die Geräte im Eigentum der Mitarbeiter befinden, auch wenn sich Unternehmen manchmal an den Kosten für die Anschaffung und den Betrieb beteiligen. Folgt man den Ergebnissen verschiedener Umfragen, so haben den Trend zu BYOD eindeutig die Anwender ausgelöst,
weil sie gerne die Letztversionen ihrer Smartphones, Tablets und Notebooks verwenden und es wesentlich bequemer ist, nur ein Gerät anstatt zwei Geräte mitzuführen. Darüber hinaus sind die privaten Geräte in der Regel oft moderner ausgestattet und leistungsfähiger als diejenigen, die vom Unternehmen zur Verfügung gestellt werden.
BYOD ist bequem für den Anwender, für das Unternehmen stellen sich jedoch eine Reihe von arbeits-, datenschutz- und urheberrechtlichen Fragen. Vor- und Nachteile von BYOD Der Einsatz von BYOD kann aus der Sicht des Unternehmens Vorteile mit sich bringen. Allerdings gibt es auch eine Reihe von Nachteilen, die bei der Entscheidung, ob BYOD eingesetzt werden soll oder nicht – sofern diese Entscheidung nicht schon längst durch einen schleichenden und nicht strategisch bestimmten Einsatz von BYOD obsolet geworden ist –, zu berücksichtigen sind. Zu den Vorteilen aus Sicht des Unternehmens zählen: n Kosten für neue Hardware können eingespart werden. n Mitarbeiterinnen und Mitarbeiter sind besser motiviert, wenn sie aktuelle Geräte für ihre Arbeit einsetzen können. n Mitarbeiterinnen und Mitarbeiter können ihre Geräte selbst aussuchen, ohne auf bestehende Hard- und Softwareangebote des Arbeitgebers angewiesen zu sein. n Die Notwendigkeit, mehrere mobile Geräte mitzuführen, entfällt. n Stärkere Bindung der Mitarbeiter an das Unternehmen. n Entlastung der IT-Abteilung durch Wegfall des Supports für die mobilen Geräte. Diesen Vorteilen stehen folgende Nachteile entgegen:
n
n
n
n
n
n
n
n
n
BYOD ist nicht für alle Arbeitsplätze anwendbar. Kompatibilitätsprobleme können auftreten. Aufwendige Zugriffskontrollmechanismen werden notwendig. Bedingt durch technische Diskussionen unter den Mitarbeitern kann es zu Arbeitszeitverlust kommen. Wichtige Sicherheitsvorgaben, insb die strikte Trennung zwischen privaten und beruflichen Daten, sind ohne zusätzliche kostenpflichtige Software (Mobile Device-Management-Programme) nicht umsetzbar. Eventuell müssen aus Sicherheitsgründen Umbauten der IT-Infrastruktur (zusätzliche Server für den Remote-Zugang, Trennung von Netzwerkbereichen) erfolgen. Bei Beschädigung oder Verlust des privaten mobilen Geräts haftet grundsätzlich der Arbeitgeber, sofern der Schaden aufgrund der dienstlichen Tätigkeit entstanden ist. Dadurch können hohe Aufwände für die Reparatur oder Wiederbeschaffung entstehen. Weitere Kosten können für zusätzliche Softwarelizenzen anfallen, da viele Apps nur dann kostenlos verwendet werden dürfen, wenn sie ausschließlich für private Zwecke genutzt werden. Es besteht ein hohes Datensicherheitsrisiko.
Prüffragen Damit die Einführung von „Bring Your Own Device“ nicht zu „Bring Your Own Dilemma“ oder sogar „Bring Your Own Disaster“ wird, bedarf es einer unternehmensweiten BYOD-Strategie mit einer klaren BYOD-Richtlinie sowie einer Auseinandersetzung mit diversen rechtlichen Fragen, vor allem aus den Bereichen Arbeitsrecht, Datenschutzrecht und Urheberrecht. Die nachfolgende Checkliste soll den für die Einführung von BYOD zuständigen Personenkreis bei der Überprüfung der notwendigen Maßnahmen unterstützen:
Prüffrage
nicht anwendbar
erfüllt
nicht erfüllt
Prüfpunkt 1 – BYOD-Richtlinie Frage 1: Ist eine unternehmensweite BYOD-Richtline vorhanden? Anmerkung: Das größte Problem beim Einsatz von BYOD liegt im Sicherheitsbereich, da die Kontrolle des Unternehmens über die eingesetzte Hardware und Software durchbrochen wird. Es ist daher unbedingt erforderlich, ein Regelwerk zu entwickeln, um dieses hohe Sicherheitsrisiko zu minimieren. Der Inhalt dieser BYOD-Richtlinie ergibt sich aus den folgenden Fragen. Frage 2: Ist eindeutig geregelt, welche Mitarbeiter an BYOD teilnehmen dürfen?
Dako 1 | 2014
13
die checkliste
Prüffrage Frage 3: Ist eindeutig geregelt, welche mobilen Geräte eingesetzt werden dürfen bzw welche vom Einsatz ausgeschlossen sind? Frage 4: Ist eindeutig geregelt, welche Software eingesetzt werden darf bzw welche Software vom Einsatz ausgeschlossen ist? Anmerkung: Damit soll zB die Nutzung von nichtvertrauenswürdigen Cloud-Diensten ausgeschlossen werden. Frage 5: Ist eindeutig geregelt, welche Apps installiert werden dürfen und welche nicht? Frage 6: Ist eindeutig geregelt, welche Betriebssysteme zugelassen sind bzw welche nicht zum Einsatz kommen dürfen? Frage 7: Ist eindeutig geregelt, welche Informationen mit welchem Schutzbedarf mit den mobilen Geräten verarbeitet werden dürfen? Anmerkung: Denkbar wäre eine Datenklassifikation in 4 Sicherheitsklassen, wie zB Klasse 0 = öffentlich, 1 = geschützt, 2 = geheim und 3 = vertraulich. Anhand dieser Datenklassifikation wäre dann zu definieren, bis zu welcher Klasse mobile Geräte zum Einsatz kommen dürfen. Frage 8: Enthält die BYOD-Richtlinie auch nichttechnische Vorsichtsmaßnahmen, wie zB, ob die mobilen Geräte an Dritte verliehen oder in öffentlichen Bereichen benützt werden dürfen? Frage 9: Werden private und betriebliche Daten und Anwendungen getrennt? Anmerkung: Es ist auch darauf zu achten, dass durch Synchronisation/Backup insb von Smartphones oder Tablets mit/ auf privaten Computern keine beruflichen Daten auf privaten Geräten gespeichert werden! Frage 10: Ist der Einsatz von Zertifikaten (zB SCEP, Token) auf den Mobilgeräten vorgesehen? Anmerkung: Benutzername und Kennwort sind bei BYOD aufgrund der ungesicherten Umgebung für die Zugangskontrolle kaum ausreichend. Frage 11: Werden verschlüsselte Datencontainer oder ein Information Rights Management (IRM) zum Schutz der betrieblichen Daten eingesetzt? Frage 12: Sind die Zugriffsrechte der IT-Abteilung auf die mobilen Geräte eindeutig geregelt? Frage 13: Ist der Einsatz einer automatischen Löschfunktion (Wipe) vorgesehen, wenn das Mobilgerät über einen bestimmten Zeitraum nicht am Firmennetzwerk angemeldet war? Frage 14: Ist das Vorgehen bei Security Updates geregelt? Frage 15: Ist das Vorgehen beim Einspielen von Patches geregelt? Frage 16: Ist ein Prozess eingerichtet, der das Vorgehen bei einem Verlust oder Diebstahl eines mobilen Geräts regelt? Anmerkung: Bei Verlust oder Diebstahl eines mobilen Geräts ist eine sofortige Benachrichtigung der IT-Abteilung durch den betroffenen Mitarbeiter unbedingt erforderlich, um den Zugriff auf das mobile Gerät zu sperren und die Daten zu löschen. Frage 17: Ist genau geregelt, wie bei einer Reparatur bzw nach einem Absturz des mobilen Geräts vorzugehen ist? Frage 18: Gibt es ein Datensicherheitskonzept für die mobilen Endgeräte? Anmerkung: Das Datensicherheitskonzept sollte genau regeln, wie bei Datenlöschungen (komplette oder partielle Löschung) bzw bei Sperrungen vorzugehen ist. Frage 19: Sind alle mobilen Geräte mit Spam-, Malware und Virenschutz ausgestattet? Frage 20: Werden die Mitarbeiter in den Sicherheitsthemen entsprechend geschult? Frage 21: Werden alle Daten auf den mobilen Geräten verschlüsselt und entspricht das eingesetzte Verschlüsselungsverfahren dem Stand der Technik? Frage 22: Wurde ein Prozess eingerichtet, wie beim Ausscheiden eines Mitarbeiters mit Daten auf seinen mobilen Geräten zu verfahren ist? Frage 23: Wird ein Mobile Device-Management-System (MDM) eingesetzt? Anmerkung: Die nachfolgenden Fragen von 24 bis 43 beziehen sich auf die Sicherheitsmerkmale des MDM, die bei der Auswahl eines solchen Systems zu beachten sind. Frage 24: Weist das MDM Mandantenfähigkeit auf? Frage 25: Werden die unterschiedlichsten mobilen Geräte unterstützt? Frage 26: Ist eine Übertragung bestehender Unternehmensrichtlinien auf die mobilen Geräte möglich? Frage 27: Erfolgt eine Inventarisierung der Mobilfunkumgebung (mit automatischer Geräteerkennung)? Frage 28: Erfolgt eine Überwachung der Mobilfunkkosten, insb von Roamingkosten? Frage 29: Ist eine plattformübergreifende Migration der Daten zu den mobilen Geräten möglich (zB Übernahme Adressbuch, Anwendungen, Einstellungen)? Frage 30: Erfolgt eine fortlaufende Sicherung der Daten auf den mobilen Endgeräten? Frage 31: Ist der Einsatz von Anti-Malware vorgesehen? Frage 32: Gibt es eine Jailbreak- und Rootingerkennung für alle bekannten Exploits? Frage 33: Verfügt das MDM über einen Spamfilter? Frage 34: Erfolgt eine Verschlüsselung der mobilen Geräte und eventueller Speicherkarten? Frage 35: Enthält das MDM eine White-List und Black-List für mobile Applikationen? Frage 36: Wird die Installation von Zertifikaten auf beliebig vielen Devices unterstützt? Frage 37: Ist eine Verwaltung der Sicherheitsrichtlinien enthalten? Frage 38: Erfolgt eine Verwaltung der Applikationen?
14 Dako 1 | 2014
nicht anwendbar
erfüllt
nicht erfüllt
die checkliste
Prüffrage
nicht anwendbar
erfüllt
nicht erfüllt
Frage 39: Enthält das MDM eine Echtzeitremoteunterstützung oder Helpdesklösung? Frage 40: Enthält das MDM eine Konfigurationsverwaltung? Frage 41: Verfügt das MDM über eine Sperr- und Löschmöglichkeit für mobile Endgeräte, Funktionen und Speichermedien? Frage 42: Ist eine Lokalisierung von verloren gegangenen mobilen Geräten per GPS möglich? Frage 43: Verfügt das MDM über Remote Wipe? Prüfpunkt 2 – Arbeitsrecht Frage 44: Wurde vor Einführung von BYOD eine Betriebsvereinbarung (BV) abgeschlossen oder bei nicht eingerichtetem Betriebsrat die Zustimmung jedes einzelnen Mitarbeiters nach § 10 AVRAG eingeholt? Anmerkung: Grundsätzlich eignet sich BYOD aufgrund der Verknüpfung des privaten mobilen Geräts mit dem IT-System des Arbeitgebers zur Überwachung und Kontrolle des Mitarbeiters. Für die Einführung von Systemen, die objektiv geeignet sind, das Verhalten oder die Leistung des Mitarbeiters zu kontrollieren, ist nach den Bestimmungen des § 96 Abs 1 Z 3 ArbVG der Abschluss einer Betriebsvereinbarung unumgänglich. Frage 45: Regelt die BV die Kostenfrage in Bezug auf Beschaffung und Betriebskosten der mobilen Geräte? Gibt es eine Regelung zur Zulässigkeit oder Verbot von Roaming und Tragung von Roamingkosten in der BV? Wurde die Kostenregelung steuerlich geprüft? Frage 46: Ist in der BV eine Bestimmung enthalten, die das Risiko der Überschreitung der zulässigen Arbeitszeit oder ausufernder Überstunden unterbindet? Anmerkung: Da der Mitarbeiter sein privates Mobilgerät in der Regel außerhalb seiner Arbeitszeit kaum ausschalten wird, so wie er es mit einem dienstlichen Gerät tun würde, kann es schon beim Lesen einer betrieblich verursachten E-Mail zu einer Verletzung des Arbeitszeitgesetzes (AZG) bzw Arbeitsruhegesetzes (ARG) kommen. Weiters ist zu beachten, dass das mobile Arbeiten Überstundenforderungen nach sich ziehen kann (selbst bei All-in-Arbeitsverträgen darf der Mitarbeiter durch das mobile Arbeiten nicht schlechtergestellt werden, als wenn er keine Überstundenpauschale hätte). Frage 47: Enthält die BYOD-Richtlinie die detaillierte Vorgehensweise bei Verlust des mobilen Geräts? Frage 48: Ist in der BV klargestellt, wer bei Verlust des mobilen Endgeräts für die Ersatzbeschaffung, die damit verbundenen Kosten verantwortlich ist bzw für etwaige Schäden haftet? Frage 49: Ist die Zugriffsberechtigung der IT-Abteilung auf die in den mobilen Geräten gespeicherten Daten – gegebenenfalls auch einschließlich der persönlichen Daten des Mitarbeiters – sowie Anwendungen in der BV geregelt? Frage 50: Enthält die BYOD-Richtlinie entsprechende Regelungen, die den Mitarbeiter verpflichtet, entsprechende Schutzmaßnahmen gegen Viren und sonstige Schadsoftware zu ergreifen? Frage 51: Ist in der BYOD-Richtlinie geregelt, wie der unbefugte Zugriff auf das mobile Gerät verhindert werden kann? Frage 52: Enthält die BYOD-Richtlinie eine Bestimmung, dass der Mitarbeiter nur jene Hardware und Software einsetzen darf, die vom Unternehmen zugelassen ist? Frage 53: Wird in der BV auch auf mögliche Sanktionen bei Verstoß gegen die BYOD-Richtlinie hingewiesen? Frage 54: Enthält die BYOD-Richtlinie auch Regelungen in Bezug auf die zu treffenden Maßnahmen bei Beendigung des Arbeitsverhältnisses? Prüfpunkt 3 – Urheberrecht Frage 55: Wurden sämtliche Unternehmenslizenzen darauf überprüft, ob von ihnen auch die Nutzung auf den mobilen Geräten der Mitarbeiter abgedeckt wird? Anmerkung: Da die meisten Software-Anbieter für die gewerbliche und die private Nutzung von Software unterschiedliche Lizenzbedingungen vorsehen, ist diese Frage dringend zu klären, damit für das Unternehmen keine Haftungsrisken entstehen. Frage 56: Wurden die Mitarbeiter in der BYOD-Richtlinie darauf hingewiesen, dass ihre private Software grundsätzlich nicht zu Betriebszwecken verwendet werden soll? Anmerkung: Diese Frage betrifft vor allem Apps, deren kostenlose Nutzung in der Regel nur für den privaten Einsatz vorgesehen ist. Frage 57: Wurden die Mitarbeiter darauf hingewiesen, dass sie keinesfalls „Raubkopien“ zu betrieblichen Zwecken verwenden dürfen? Prüfpunkt 4 – Datenschutz Frage 58: Sind private und betriebliche Daten strikt getrennt? Anmerkung: Diese und alle weiteren Prüffragen beziehen sich auf die datenschutzrechtlichen Anforderungen des § 14 DSG 2000. Demnach ist der Unternehmer (= Auftraggeber iSd DSG 2000) als Herr der Daten verpflichtet, angemessene Datensicherheitsmaßnahmen zu treffen, um sicherzustellen, dass Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind. Der Vollständigkeit halber sei darauf hingewiesen, dass der Auftraggeber noch eine Vielzahl weiterer datenschutzrechtlicher Anforderungen erfüllen muss, von der Einhaltung der Qualitätsgrundsätze des § 6 DSG 2000 bis zur Wahrung der Rechte des Betroffenen in Bezug auf Auskunft, Richtigstellung oder Löschung und Widerspruch (§§ 26 – 28 DSG 2000), deren Behandlung den Rahmen dieser Checkliste sprengen würde. Frage 59: Sind die Mitarbeiter angewiesen, ihre mobilen Geräte so zu sichern, dass die Nutzung durch Unbefugte (zB die eigenen Kinder) verhindert wird? Anmerkung: Generell sollte eine Nutzung durch Dritte unterbunden werden. Weiters sollten die Mitarbeiter in der BYOD-Richtlinie verpflichtet werden, BYOD-Geräte nicht an unsicheren Orten unbeaufsichtigt zu lassen (zB im Auto, am Kaffeehaustisch).
Dako 1 | 2014
15
die checkliste
Prüffrage
nicht anwendbar
erfüllt
nicht erfüllt
Frage 60: Ist der BYOD-Einsatz in der BYOD-Richtlinie auf mobile Geräte beschränkt, die sich im Eigentum des Mitarbeiters befinden? Anmerkung: Sollte dies nicht der Fall sein und das mobile Gerät zB dem Ehegatten gehören, so wird dessen unbefugter Zugang kaum auszuschließen sein. Frage 61: Wird jeder Mitarbeiter über seine nach dem DSG 2000 und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten belehrt? Frage 62: Werden wirksame Zugriffskontrollsysteme für die mobilen Geräte eingesetzt? Anmerkung: In der BYOD-Richtlinie sollten Regeln enthalten sein, längere, nicht zu einfache Passworte und Bildschirmentsperrungen zu verwenden; die Änderungsintervalle sollten festgelegt werden ebenso wie eine kurze Aktivierungszeit für Displaysperren. Frage 63: Ist eine verpflichtende oder automatisierte Installation von Antivirensoftware auf den mobilen Geräten vorgesehen? Frage 64: Werden Screenshot-Funktionen bei betrieblichen Datenanwendungen auf den mobilen Geräten unterbunden? Frage 65: Werden Cloud-basierte Sprachassistenten (zB Siri) in Geschäftsanwendungen unterdrückt? Anmerkung: Generell sollten Cloud-Dienste für die berufliche Nutzung in der BYOD-Richtlinie unterbunden werden (zB Dropbox, Evernote). Frage 66: Erfolgt der Zugriff auf unternehmensinterne Webportale (zB Intranet) über eigene Browser und wird die Kommunikation zwischen Portal und mobilem Gerät zusätzlich verschlüsselt? Frage 67: Wurde eine Fernlöschung und -sperrung eingerichtet, um im Verlustfall die unbefugte Verwendung des mobilen Geräts zu verhindern? Ist in der BYOD-Richtlinie klargestellt, dass und an wen der Mitarbeiter den Verlust/Diebstahl seines Geräts umgehend melden muss und dass er Servicearbeiten nur unter Rücksprache mit der IT-Abteilung durchführen darf? Frage 68: Ist in der BV eine unternehmensseitige Protokollierung der tatsächlich durchgeführten Verwendungsvorgänge wie insb Änderungen, Abfragen und Übermittlungen geregelt? Ist dort sichergestellt, dass Mitarbeiter erforderliche (Sicherheits-)Updates durchführen und notwendige Sicherheitseinstellungen vornehmen und dass deren Abänderung/Nichtbefolgung überprüft werden kann? Frage 69: Ist bei der Verarbeitung von betrieblichen Daten – abhängig von der Sensibilität dieser Daten – eine ausreichend hohe Frequenz der Synchronisierung mit den Unternehmensservern vorgesehen? Frage 70: Ist für die persönlichen Daten des Mitarbeiters ein Backup-Verfahren eingerichtet? Frage 71: Sind die Kontroll- und Zugriffsrechte des Unternehmens auf die mobilen Geräte in der BV geregelt? Frage 72: Wurde ein Prozess eingerichtet, der im Fall eines Datenmissbrauchs nach Verlust oder Diebstahl eines mobilen Geräts oder sonstiger Verwendung durch Unbefugte die weitere Vorgehensweise in Bezug auf die Informationspflicht des Betroffenen regelt (sog „Data Breach Notification Duty“)? Frage 73: Werden die Mitarbeiter entsprechend § 24 DSG 2000 darüber informiert, welche für Daten über sie durch BYOD verarbeitet werden? Werden die Mitarbeiter auf das Datengeheimnis des § 15 DSG 2000 vertraglich verpflichtet? Willigen die Mitarbeiter in IT-forensische Untersuchungen ein? Anmerkung: Diese Punkte können im Rahmen der BYOD-Richtlinie umgesetzt werden, die letzten beiden allerdings nur dann, wenn die BYOD-Richtlinie von jedem Mitarbeiter gegengezeichnet wird. Frage 74: Werden die Mitarbeiter in die Handhabung von BYOD persönlich eingeschult? Frage 75: Werden die Mitarbeiter über die Konsequenzen bei Verstößen gegen die BYOD-Regelungen belehrt? Frage 76: Wird beim Einsatz von Dienstleistern für BYOD ein Dienstleistervertrag nach §§ 10 und 11 DSG 2000 mit diesen abgeschlossen? Frage 77: Wird, soweit erforderlich, vor Beginn von BYOD eine Meldung für durch BYOD zusätzlich anfallende Daten beim Datenverarbeitungsregister eingebracht und, soweit erforderlich, ein Genehmigungsantrag für internationalen Datenverkehr bei der Datenschutzbehörde gestellt?
Zum Thema
Dako 2014/6
Über den Autor Prof. KommR Hans-Jürgen Pollirer ist Geschäftsführer der Secur-Data Betriebsberatungs-GmbH. E-Mail: hj.pollirer@secur-data.at
Literatur WEKA/IT-Management, BYOD – Bring Your Own Device – ein Trend setzt sich mehr und mehr durch (2013) Teil 9/15; WEKA/Netzwerksicherheit, Bring Your Own Device, Teil 7/12; Knyrim/Horn, Bring Your Own Device – Ein Trend hält Einzug in Österreichs Unternehmen, ecolex 2013, 365 ff.
Links n
WKO BSIC, IT-Sicherheitshandbuch (2014) 20 f, www.wko.at/Content.Node/it-safe/kmu_handbuch_komplett.pdf
n
BITKOM, Bring Your Own Device, www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf
n
Bundesamt für Sicherheit in der Informationstechnik (BSI), Überblickspapier Consumerisation und BYOD, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Ueberblickspapier_BYOD_pdf.pdf?__blob=publicationFile
n
European Network and Information Security Agency (ENISA), Consumerization of IT: Top Risks and Opportunities, www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/consumerization-of-it-top-risks-and-opportunities
16 Dako 1 | 2014
der judikaturrückblick
n
Krampe, Vereinbarung über die Nutzung von mobilen, privaten Endgeräten für den Zugriff auf die Unternehmensinfrastruktur, www.thomas-krampe.com/byod_vereinbarung.html
n
Deloitte, Perspektive BYOD Private Hardware in Unternehmen, www2.deloitte.com/content/dam/Deloitte/de/Documents/ technology-media-telecommunications/TMT_Report_Perspektive%20BYOD.pdf
n
Franck, Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013, 185 ff, www.gdd.de/downloads/Franck_Aufsatz.pdf
Viktoria Haidinger Wirtschaftskammer Österreich
Was sind personenbezogene Daten? Informationen, Identifikatoren und Anonymisierung. Der Begriff der personenbezogenen Daten ist ein Kernelement des Datenschutzes und Anwendungsvoraussetzung für das DSG 2000. Was versteht aber das DSG 2000 unter Daten, und wann sind sie personenbezogen? Der Beitrag gibt einen Überblick über die von der Judikatur gefundenen Antworten. Was sind Daten? Informationen, Speicherart, Gespräche, Bilder § 4 Z 1 DSG 2000 lautet: „Daten“ („personenbezogene Daten“): Angaben [. . .]. Das DSG 2000 beschreibt sohin den Begriff Daten mit „Angaben“. Dieser Begriff ist mit Informationen im weitesten Sinne gleichzusetzen, und zwar unabhängig davon in welcher Form sie vorliegen, also ob sie auf n Papier (DSK 31. 8. 2000, 120.532/22DSK/00) n oder einem technischen Datenträger (analog oder digital, siehe DSK 11. 10. 2005, K121.036/0014-DSK/2005) aufgezeichnet sind n oder nur einmalig wahrgenommen werden können. Da Bilder ganz unbestrittenermaßen Daten iSd DSG 2000 sind (VwGH 29. 3. 2004, 98/ 01/0213; DSK 21. 6. 2005, K503.425-090/ 0003-DVR/2005), enthalten analog oder digital gespeicherte Bildersammlungen bzw Videoaufnahmen immer Daten. Gespräche zählen ebenfalls dazu, wie die DSK im Rahmen einer Empfehlung an das AMS ausgesprochen hat (DSK 16. 5. 2008, K210.579/0004-DSK/2008). Anlass waren Beratungsgespräche beim AMS, die in Büros durchgeführt wurden, in denen mehr als ein Sachbearbeiter tätig war. Bei den gegebenen Örtlichkeiten war es daher nicht zu verhindern, dass Arbeitsuchende Daten von anderen Arbeitsuchenden erfuhren. Die DSK empfahl dem AMS sicherzu-
stellen, dass bei Beratungsgesprächen von anderen AMS-Kunden nicht mehr mitgehört werden kann. Ein Sachverhalt, der auch für andere Institutionen oder Unternehmen durchaus relevant sein kann. Ebenfalls im Zusammenhang mit der Arbeitsmarktverwaltung sah die DSK eine Verletzung des Grundrechts auf Datenschutz darin, dass rosa (statt der üblichen gelben) Abholscheine zur Benachrichtigung vom Zurverfügungstehen des Arbeitslosengelds beim Postamt und zur Auszahlung des Arbeitslosengelds verwendet wurden und dass das Arbeitslosengeld bei eigens gekennzeichneten Schaltern im Postamt abzuholen war. Denn dadurch wurde für Nachbarn, die zum Zeitpunkt des Einwurfs des Abholscheins durch den Briefträger zufällig am Hausbriefkasten vorbeikamen, sowie allen im Postamt anwesenden Personen der Umstand der Arbeitslosigkeit des Betroffenen offenkundig (DSK 18. 12. 19971). Statistische Hochrechnungen, Scoring-Werte, Wirtschaftsdaten Nicht nur unmittelbar gewonnene Informationen sind Daten iSd DSG 2000, sondern auch statistische Hochrechnungen auf Basis verfügbarer Daten (zB kann aufgrund soziodemographischer Merkmale auf das Einkommen geschlossen werden, vgl DSK 20. 5. 2005, K120.908/0009DSK/2005). Im Rahmen von Auskunftsverfahren wegen Bonitätsprüfungen (§ 26 DSG 2000) sprach der VwGH in diesem Sinne auch Scoring-Werten und dem logi-
schen Ablauf von Bonitätsprüfungen Datenqualität zu (VwGH 15. 11. 2012, 2008/ 17/0096). Zu Wirtschaftsdaten hat der VfGH schon sehr früh ausgesprochen, dass diese unter das Datenschutzgesetz fallen (VfGH 30. 11. 1989, G 245/89 ua VfSlg 12.228). Biometrische Daten Einen besonderen Fall stellen biometrische Daten dar. Diese sind laut Artikel 29-Arbeitsgruppe2 dadurch charakterisiert, dass sie die Identifikation einer Person mittels körperlicher Merkmale, wie etwa Fingerabdrücke (DSK 6. 7. 2004, K120.893/0007DSK/2004), Augennetzhaut etc, ermöglichen, aber gleichzeitig auch Informationen zur Person selbst beinhalten können, etwa weil sich von einem DNA-Profil gesundheitsbezogene Angaben ableiten lassen (Stellungnahme 4/2007, WP 136, 10 f). Der Träger des biometrischen Merkmals (Gewebeoder Blutprobe, menschlicher Finger, etc) selbst gilt ebenso wenig als Datum wie eine Festplatte, die Informationen nur speichert. Wann sind Daten personenbezogen? § 4 Z 1 DSG 2000 lautet fortgesetzt: „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt Nicht veröffentlicht und Geschäftszahl unbekannt. Auszugsweise nachzulesen in VfGH 6. 3. 2000, B 377/98 VfSlg 15.742, wo jedoch keine inhaltliche Auseinandersetzung mit der datenschutzrechtlichen Fragestellung erfolgte. 2 Diese Arbeitsgruppe der Leiter der Europäischen Datenschutzbehörden der Mitgliedstaaten und der EU basiert auf Art 29 DatenschutzRichtlinie, woher sich ihr Name ableitet.
1
Dako 1 | 2014
17
der judikaturrückblick
personenbezogen“ sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann. Bestimmte und bestimmbare Identität Diese Frage ist wesentlich vielfältiger. Für das DSG 2000 ist ausreichend, dass die Identität bestimmbar ist. Erwägungsgrund 26 der Datenschutz-Richtlinie 46/ 1995/EG präzisiert „Bestimmbarkeit“ dahingehend, dass alle Mittel berücksichtigt werden müssen, die vernünftigerweise – von wem auch immer – eingesetzt werden könnten, um den Betroffenen zu identifizieren. Anhand eindeutiger primärer Identifikationsmerkmale ist eine Person bestimmt. Je nach Kontext kann dies der Name oder bei geläufigen Namen die Kombination mit dem Geburtsdatum sein. Nach der Auslegung des EuGH erfasst der Begriff der personenbezogenen Daten die Nennung des Namens eines Betroffenen in Verbindung mit seiner Telefonnummer oder mit Informationen über sein Arbeitsverhältnis oder seine Freizeitbeschäftigungen (EuGH 6. 11. 2003, C-101/01, Lindquist).
Die Bestimmbarkeit einer Person kann sich auch aus der Kombination von Namen und anderen Informationen ergeben. Identifikatoren – Sozialversicherungsnummer, Kfz-Kennzeichen Ebenfalls als primäre Identifikationsmerkmale und gleichzeitig personenbezogene Daten gelten Identifikatoren wie die Sozialversicherungsnummer (DSK 12. 11. 2004, K120.902/0017-DSK/2004). Das mag auf den ersten Blick verwundern, denn mit der Nummer allein kann ein unbeteiligter Dritter meist recht wenig anfangen, und tatsächlich findet man in der Judikatur keine Begründung für die Qualifikation der Sozialversicherungsnummer als personenbezogenes Datum. Im Zusammenhang mit KfzKennzeichen erschließt sich die Argumentation: Während der VfGH zur SectionControl-Thematik keine eindeutige Aussage dazu traf (VfGH 15. 6. 2007, G 147/06 ua),
18 Dako 1 | 2014
sprach die DSK zur Radarüberwachung durch Gemeinden aus, dass die Ermittlung des Kennzeichens bei Geschwindigkeitsübertretungen ausschließlich der Identifizierung des Kraftfahrzeughalters dient. Dass eine andere Stelle (Strafbehörde) durch Kombination mit anderen Daten diese Identifizierung erst durchführt, ist nicht relevant (DSK 11. 7. 2008, K121.359/0016DSK/2008; trotz tw Aufhebung des Bescheids durch den VwGH 8. 9. 2009, 2008/ 17/0152, ausdrücklich inhaltlich bestätigt im zweiten Rechtsgang durch VwGH 28. 3. 2011, 2010/17/0170). IP-Adressen, indirekt-personenbezogene Daten, bereichsspezifische Personenkennzeichen (bPK) Konsequenterweise gelten daher auch IPAdressen als bestimmbare Daten, wenn der Zweck der Verwendung nicht eindeutig jegliche Identifizierungsabsicht ausschließt (DSK 20. 6. 2008, K121.385/0009-DSK/ 2008), wobei eine Identifizierbarkeit natürlich möglich sein muss: So wären IP-Adressen, die einem öffentlich zugänglichen Computer zugewiesen sind (zB Internet-Café), nur dann auf einen bestimmten Benutzer rückführbar, wenn sich dieser durch Vorlage des Personalausweises beim Betreiber identifizieren muss (was in manchen Staaten vorgeschrieben ist).3 Eine Identifizierungsabsicht anhand der IP-Adresse ist zumindest im Einzelfall bei Dienstgebern oder Service-Providern gegeben (siehe den zuletzt zitierten DSK-Bescheid und die Art 29-WPStellungnahme 4/2007, WP 136, 19 f). Bei diesen liegen auch keine sogenannten indirekt personenbezogenen Daten (§ 4 Z 1 DSG 2000) vor. Diese besondere Fallgruppe der bestimmbaren Daten, die einen geringeren Schutz genießt, ist dadurch charakterisiert, dass die Identifizierung des Betroffenen mit rechtlich zulässigen Mitteln nicht möglich ist. Dazu genügt es nicht, dass der Datenverwender die Identität des Betroffenen aufgrund gesetzlicher oder vertraglicher Bestimmungen nicht bestimmen darf (wie allenfalls bei Dienstgebern und Service-Providern), sondern dass er sie auch tatsächlich nicht bestimmen kann, ohne rechtlich verpönte Mittel anzuwenden. Die DSK zählt dazu insbesondere strafrechtswidrige Mittel wie Einbruch, Diebstahl, Zwang oder Bestechung, um den Identifikationsschlüssel zu erhalten (DSK 18. 11. 2009, DSK K121.526/0028DSK/2009).
Ein weit verbreiteter Anwendungsfall stellt sich bei klinischen Studien. Hier ist nur der ärztliche Prüfer Inhaber des Identifikationsschlüssels, zu dem der auftraggebende Sponsor (idR Pharmaunternehmen) aber weder rechtlich noch faktisch Zugang hat (Stellungnahme 4/2007, WP 136, 22). Hingegen sind die mit bPKs verknüpften Daten der Registerzählung4 keine indirekt personenbezogenen Daten für Statistik Austria, weil diese im Rahmen der Wohnsitzanalyse5 gesetzlich berechtigt ist, die Entschlüsselung der Daten zu bewirken (DSK 30. 3. 2012, K121.765/0008-DSK/2012). Für einen Dritten – zB einen Forscher, der im Safe Center von Statistik Austria Daten auswertet – sind mit einem bPK verschlüsselte Daten sehr wohl indirekt personenbezogen (DSK 22. 5. 2013, K202.126/0012DSK/2013). Anonyme Daten, Pseudonymisierung Damit Daten als anonym gelten, muss eine Re-Identifizierung mit vernünftigen Mitteln ausgeschlossen sein. Eine derartige Anonymisierung wird in einem ersten Schritt durch Pseudonymisierung, also Entfernung der primären Identifikationsmerkmale (Name), und Zuteilung eines Schlüssels bewirkt. Je nach Situation könnte aber durch andere Merkmale (Geburtsdatum, Zugehörigkeit zu einer Gruppe, Krankheit) auf den Betroffenen geschlossen werden.
Vorstufe für eine Anonymisierung ist oft eine Pseudonymisierung. Ob Daten für einen Empfänger identifizierbar sind, hängt naturgemäß vom Wissensstand des jeweiligen Empfängers ab. Konkret zur Identifizierbarkeit einer Person, über die in einer Zeitung berichtet worden war („arbeitsloser Notstandshilfebezieher aus Wien mit drei Kindern“), stellte die DSK fest, dass vom durchschnittlichen Informationsstand des (üblichen) Leserkreises des Mediums auszugehen ist. Nicht zu berücksichtigen sind dabei Personen, die aufgrund einer Nahebeziehung zum Betroffenen über Sonderwissen verfügen, wie Familienangehörige, Nachbarn, Arbeitskollegen etc (DSK 22. 4. 2005, K120.966/0005DSK/2005). So etwa in Italien von 2005 bis 2010, s www.blogstudiolegale finocchiaro.com/wordpress/tag/identification-of-user/ (Stand 14. 5. 2014). 4 Eigentlich: „Registergestützte Volkszählung“. 5 § 5 Abs 3 bis 6, § 7 Abs 2 und 3 Registerzählungsgesetz. 3
der judikaturrückblick
Bei der „Baseline-Testung“ des BIFIE6 wurden folgende Identifizierungsmerkmale mit den Fragebögen erhoben, um – so der gesetzliche Auftrag – den Schülern den Zugang zu ihren Testergebnissen zu ermöglichen: n Zehnstellige Kennnummer, aus der das BIFIE die Zugehörigkeit zu einer bestimmten Schule und zu einer bestimmten Klasse sowie die Katalognummer schließen kann; n Geburtsdatum; n Geschlecht. Die Klassen umfassten maximal 30 Schüler, Geburtsdaten sind häufig im Klassenverband bekannt. Durch die Angabe des Geschlechts verkleinert sich zusätzlich die in Betracht kommende Gruppe. Die DSK stellte daher fest, dass es für ein Organ des BIFIE kein allzu schweres oder aufwändiges Unterfangen wäre, ein Testergebnis durch Befragung einem Schüler zuzuordnen, und sprach aus, dass jedenfalls personenbezogene Daten vorliegen, aber keine indirekt personenbezogenen, weil das Mittel der Befragung an sich kein „rechtlich unzulässiges“ ist (DSK 18. 11. 2009, K121.526/ 0028-DSK/2009). Betreffend die KrankheitsgruppenStatistik der Tiroler GKK erachtete die DSK die bis dahin geübte Praxis, an Betriebe mit mehr als 50 Arbeitnehmern zur Unterstützung der betrieblichen Gesundheitsförderung Statistiken zu übermitteln, zwar für grundsätzlich zulässig, empfahl aber einige Maßnahmen, damit die übermittelten Daten tatsächlich als anonym gelten. Um eine Re-Identifikation möglichst auszuschließen, sind die Krankengruppen-Statistiken so zu gestalten, dass lediglich jene Krankheitsdaten in die Statistik einbezogen werden, die mit der Tätigkeit des jeweiligen Betriebs typischerweise verbunden sind. Ferner, dass eine Trennung in männliche und weibliche Mitarbeiter und damit Ausweisung der möglicherweise für diese Gruppe typischen Krankheiten erst ab einer Mindestanzahl von fünf Personen vorgenommen werden soll (DSK 22. 5. 2013, K213.180/0021DSK/2013). Diese sog Fallzahlregel – eine Methode zur Anonymisierung mittels Generalisierung/Aggregation7 – entspricht der Praxis im medizinischen Bereich. In der traditionellen Wirtschaftsstatistik gelten Datenzellen mit Informationen von mindestens drei Einheiten als anonym,8 und die Gleichbehandlungsan-
waltschaft zieht ebendiese Grenze für die Einkommensberichte gem § 11 a Gleichbehandlungsgesetz.9 Personenbezug von Bilddaten Für Bilddaten liegt auf der Hand, dass die abgebildeten Personen zumindest erkennbar sein müssen. In diesem Sinne hat die DSK im Rahmen des Registrierungsverfahrens für Google Street View entsprechende Auflagen vorgeschrieben: Neben der automatisierten Verpixelung der Gesichter ist zusätzlich in besonders sensiblen Bereichen wie Eingangsbereichen von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen jedenfalls das Gesamtbild der Person unkenntlich zu machen (DSK 15. 4. 2011, K213.051/0004DSK/201110).
Auch Bilder von Personen in Google Street View unterliegen einer Anonymisierung. Dennoch könnte man meinen, dass eine Videokamera, die unzählige Menschen beim Betreten und Verlassen eines öffentlichen Gebäudes aufnimmt, insofern keine personenbezogenen Daten ermittelt, als diese Personen häufig namentlich nicht bekannt sind. Die DSK gesteht aber identifizierbaren Personenbildern die Qualität personenbezogener Daten mit folgender Begründung zu: „Personenbezogene Daten liegen im Übrigen keineswegs erst dann vor, wenn es sich um aufgezeichnete Informationen handelt, die von jedermann unmittelbar einer bestimmten Person zugeordnet werden können, sondern schon dann, wenn die Betroffenen nachträglich bestimmbar sind (vgl wieder § 4 Z 1 DSG 2000). Bestimmbarkeit bedeutet, dass ein Datum aufgrund eines oder mehrerer Merkmale letztlich einer bestimmten Person zugeordnet werden kann.“ (DSK 21. 6. 2005, K503.425 – 090/0003DVR/2005 und K507.515 – 021/0004-DVR/ 2005).
Gaszähler, Daten der eigenen Kinder Zum Abschluss sei noch auf zwei spezifische Entscheidungen zur behandelten Thematik hingewiesen: In letzter Zeit nimmt die Praxis, Gaszähler im Stiegenhaus ohne sonstige „Verdeckungsmaßnahme“ zu montieren, zu. Die DSK erachtet dies für unzulässig, weil die Gaszählerdaten personenbezogene Daten eines Mieters einer Wohneinheit sind und daher unter dem Schutz des Grundrechts stehen. Der Vollständigkeit halber sei erwähnt, dass dem Gaslieferant aufgetragen wurde, geeignete Datensicherheitsmaßnahmen zu ergreifen, um den Zugriff auf personenbezogene Daten, die im Gaszählgerät gespeichert sind, durch Unbefugte zu unterbinden (DSK 1. 2. 2013, K215.018/0005-DSK/2013). In einem anderen Fall ging es im Zusammenhang mit Unterhaltszahlungen um die Frage, ob die Daten des eigenen Kindes gleichzeitig personenbezogene Daten des Vaters sind. Der Jugendwohlfahrtsträger hatte als Vertreter des Kindes in seinem Schreiben an den Dienstgeber des Vaters mit dem Ersuchen, dessen Bezüge bekannt zu geben, Name und Geburtsdatum des unterhaltsberechtigten Kindes preisgegeben. Der VwGH (27. 4. 2012, 2012/17/0115) verneinte mit der Begründung, dass allein die Verwendung fremder personenbezogener Daten in einem ansonsten gerechtfertigten Zusammenhang mit der eigenen Person bzw eigenen personenbezogenen Daten – jedenfalls im hier zu beurteilenden Beschwerdefall – keine Sachverhalte zu schaffen vermag, die als „personenbezogene Daten“ für den Unterhaltspflichtigen zu schützen waren. Dako 2014/7 6 Bundesinstitut für Bildungsforschung, Innovation und Entwicklung des österreichischen Bildungswesens. 7 Dazu bedient man sich häufig des Konzepts der k-Anonymität, siehe dazu bei den Literaturhinweisen. 8 Siehe OECD, Glossary of Statistical Terms, Threshold Rule, https://stats.oecd.org/ glossary/detail.asp?ID=7010 (Stand 14. 5. 2014). 9 Empfehlung der Gleichbehandlungsanwaltschaft zu den Einkommensberichten gem § 11 a Gleichbehandlungsgesetz (2011), www.gleichbehandlungsanwaltschaft.at/site/cob__43746/644 8/default.aspx (Stand 14. 5. 2014). 10 Nicht im RIS veröffentlicht. In Auszügen nachzulesen bei König, Entscheidungsübersicht Datenschutzkommission – April bis Mai 2011, jusIT 2011/49, 106.
Zum Thema Über die Autorin Mag. Viktoria Haidinger ist Juristin und stellvertretende Leiterin der Stabsabteilung Statistik der Wirtschaftskammer Österreich. E-Mail: Viktoria.Haidinger@wko.at
Literatur Art 29-Datenschutzgruppe, Stellungnahme 5/2014 über Anonymisierungstechniken, WP 216; Bergauer, Indirekt personenbezogene Daten – datenschutzrechtliche Kuriosa, in Jahnel
Dako 1 | 2014
19
die entscheidung
(Hrsg), Jahrbuch Datenschutzrecht 2011 (2011) 55; Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht2 (2013) § 4 Anm 2; Fercher, Manuelle Dateien im Datenschutzgesetz 2000, in Jahnel/Siegwart/Fercher (Hrsg), Aktuelle Fragen des Datenschutzrechts (2007) 42; Jahnel, Handbuch Datenschutzrecht (2010) Rz 3/71 ff; Jautz, Analyse und Umsetzung von Methoden zur Anonymisierung und Pseudonymisierung personenbezogener, medizinischer Daten (Diplomarbeit MUW 2006); Gerhartl, Datenschutz im Arbeitslosenversicherungsrecht – Verwendung personenbezogener Daten durch das AMS, ASoK 2012, 21; Hödl/Schwarzbraun, Open Source Humangenetik und Datenschutz, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2013 (2013) 165; Karjoth, Sind anonyme Daten anonym genug? digma 2008/1, 5; König, Videoüberwachung, in Bauer/Reimer, Handbuch Datenschutzrecht (2009); Kotschy, Das Grundrecht auf Geheimhaltung personenbezogener Daten, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2012 (2012) 34; Knyrim, Praxishandbuch Datenschutzrecht2 (2012) 14 f; Knyrim/Momeni, Datenschutz bei klinischen Prüfungen und medizinischen Studien, RdM 2003/32; Kunnert, Die fahrleistungsabhängige Maut nach dem Bundesstraßen-Mautgesetz 2002 („elektronische Lkw-Maut“ aus der Perspektive von Art 8 EMRK und § 1 DSG 2000, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2009 (2009) 117; Kunnert, „Einbrecherjagd“ mittels „ASFINAG-Kameras“ – politisches Wunschdenken versus (grund)rechtlicher Realität, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2010 (2010) 93; Simonic/Gell, Datenschutz-Policy Magda-Lena-Richtlinien1.1; Pühringer, Biometrische Daten im Datenschutzrecht, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht und E-Government 2009 (2009) 217; Stelzer/Lehner, Datenschutz in Biobanken, ZfV 2008/1385, 741.
Viktoria Haidinger
Ernst M. Weiss
Wirtschaftskammer Österreich
Richter iR
Rechtsprechung Mitteilungspflicht. Dem Antrag auf Löschung persönlicher Daten eines Betroffenen ist nicht bloß zu entsprechen, sondern er ist darüber hinaus von der Durchführung in Kenntnis zu setzen. Entscheidung Der Betroffene beantragte die Löschung strafrechtlich relevanter Daten, die im Zusammenhang mit einem mittlerweile aufgehobenen Straftatbestand (§ 209 StPO) bei der Polizei gespeichert waren. Die Behörde führte die Löschung tw durch, verabsäumte es aber, den Betroffenen hiervon zu verständigen. Nach § 27 Abs 4 DSG 2000 genügt es aber nicht, innerhalb der Achtwochenfrist die verlangte Löschung in Auftrag zu geben
oder sie bloß dem Betroffenen zu verheißen, weil damit unklar bleibt, ob dem Ersuchen tatsächlich entsprochen werden wird; vielmehr ist bei einer in Aussicht genommenen positiven Erledigung nach dem maßgeblichen Wortlaut der zitierten Gesetzesstelle dem Antrag zu entsprechen, dh, es sind die Daten richtigzustellen oder zu löschen und es ist darüber hinaus dem Betroffenen davon (also von der erfolgten Richtigstellung oder Löschung) Mitteilung zu machen.
Hinweis Dem Löschungsantrag zu entsprechen, ist zu wenig, der Antragsteller ist über die Durchführung zu informieren. § 27 Abs 4 DSG 2000 VwGH 28. 5. 2013, 2009/17/0011 Dako 2014/8
Widerspruch. Verpflichtung zur physischen, nicht nur zur logischen Löschung Entscheidung Gegen eine nicht gesetzlich angeordnete Aufnahme von Daten in eine öffentliche Datei (im konkreten Fall: Bonitätsdatenbank) kann jeder Betroffene gem § 28 Abs 2 DSG 2000 Widerspruch einlegen. Ein solcher Widerspruch verpflichtet den Auftraggeber, die Daten physisch zu löschen, also so unkenntlich zu machen, dass eine Rekonstruktion nicht mehr möglich ist. Eine Änderung der Datenorganisation dahingehend, dass lediglich ein gezielter Zugriff auf die betreffenden
20 Dako 1 | 2014
Daten ausgeschlossen ist (logische Löschung), reicht hingegen nicht aus, da bei einer solchen „Archivierung“ der Auftraggeber auf die Daten wieder zugreifen und diese rekonstruieren kann. Ob diese Archivierung erst aufgrund des Widerspruchs oder bereits von Anfang an erfolgte, spielt keine Rolle.
sind (6 Ob 156/09 y; 6 Ob 41/10 p; 6 Ob 195/08 g; 6 Ob 275/05 t; 6 Ob 156/09 y). Gem § 52 Abs 2 a DSG 2000 begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu E 500,– zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht.
Hinweis Der OGH vertritt in stRsp, dass Bonitätsdatenbanken unter bestimmten Voraussetzungen als öffentliche Dateien einzustufen
§ 28 Abs 2 DSG 2000 OGH 13. 9. 2012, 6 Ob 107/12 x Dako 2014/9
die entscheidung
SMS-Nachricht. Information über Entgelt für bezogene Leistungen ist keine Direktwerbung. Entscheidung Im konkreten Fall handelte es sich um die unerbetene Zusendung der SMS-Nachricht einer Firma mit dem Geschäftszweck Dienstleistungen für Mobiltelefone des Inhalts: „Entschuldige die kurze Störung. Du hast bis jetzt 42 EUR verbraucht. Viel Spaß weiterhin. Bei Fragen rufe [. . .] oder E-Mail: I@[. . .]“. Der Begriff der „Direktwerbung“, der sich auch in Art 13 der RL 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation), die mit § 107 Telekommunikationsgesetz 2003 umgesetzt wurde, findet, ist weder im TKG 2003 noch in Art 13 der Datenschutzrichtlinie näher definiert.
Der Rechtsbegriff der „Direktwerbung“ ist nach den Vorstellungen des Gesetzgebers „im Lichte der Erfahrungen und Bedürfnisse der Praxis zu sehen und daher weit zu interpretieren; er erfasst jeden Inhalt, der für ein bestimmtes Produkt, aber auch für eine bestimmte Idee einschließlich bestimmter politischer Anliegen wirbt oder dafür Argumente liefert.“ Voraussetzung für eine Qualifikation als Werbung ist, dass – ungeachtet der Bezeichnung und Gestaltung der Nachricht – Absatzförderung betrieben wird. Derartiges kann bei der oben angeführten SMS-Nachricht, die sich neben der Angabe einer Kontaktmöglichkeit auf die Bekanntgabe des Entgeltbetrags von bereits bezogenen Leistungen beschränkte und der Warnung des
Kunden dienen sollte, nicht erkannt werden. Hinweis § 107 TKG 2003 behandelt die verschiedenen Möglichkeiten der „unerbetenen Nachrichten“, die gem § 109 Abs 3 Z 19 und 20 mit einer Verwaltungsstrafe bis zu E 37.000,– geahndet werden können. Art 13 Datenschutzrichtlinie für elektronische Kommunikation; § 107 TKG 2003 VwGH 26. 6. 2013, 2012/03/0089 Dako 2014/10
Rainer Knyrim Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte
Löschungsrecht bei Suchmaschinen. Unterhält ein Suchmaschinenbetreiber eine Niederlassung in einem Mitgliedstaat, um Werbeflächen für den Suchdienst zu verkaufen, ist das Datenschutzrecht des Mitgliedstaats auf den Suchdienst anwendbar. Suchmaschinenbetreiber müssen Suchergebnisse zu einer Person löschen, wenn kein überwiegendes Interesse der Öffentlichkeit an dem Suchergebnis besteht. Entscheidung Dem Verfahren lag das Verlangen eines Spaniers zugrunde, Google zu verpflichten, ein Suchergebnis zu einem alten Zeitungsbericht zu löschen. Der EuGH stellte fest, dass, obwohl der Suchdienst von den Vereinigten Staaten aus betrieben wird, europäisches Datenschutzrecht anzuwenden ist, da Google in Spanien eine Tochterniederlassung zum Verkauf von Werbeflächen unterhält. Daher steht dem Betroffenen das in der Datenschutzrichtlinie geregelte Recht auf Löschung auch gegenüber dem Suchdienst zu. Dass dem Betroffenen durch das Suchergebnis ein Schaden entsteht, ist nicht erforderlich; auch ist es bedeutungslos, ob die Information an anderer Stelle im Web
weiterhin vorhanden ist. Einzig überwiegende Interessen der breiten Öffentlichkeit könnten der Löschung eines Suchergebnisses entgegenstehen. Konsequenz Diese Entscheidung ist eine der bedeutendsten Entscheidungen der letzten Jahre mit praktischer Auswirkung für jedermann. Die Möglichkeit, die Löschung von Suchergebnissen bei Suchergebnissen zu verlangen, stellt nämlich eine große Erleichterung dar. Musste bisher meist gegen unbekannte Webseitenbetreiber in Drittstaaten vorgegangen werden, um schädigende Informationen aus dem Web zu löschen, kann nunmehr Google in Österreich (auch hier unterhält Google eine Niederlassung) dazu ver-
pflichtet werden, einen Treffer aus dem Suchindex zu löschen. Auch wenn dabei die Information an der Quelle verfügbar bleibt, ist sie ohne Suchmaschine nicht auffindbar und damit praktisch „weg“. Hinweis Google hat für Löschungsansuchen ein deutsches Formular ins Internet gestellt: https://support.google.com/legal/contact/ lr_eudpa?product=websearch (Stand 11. 8. 2014) Datenschutzrichtlinie EuGH 13. 5. 2014, C-131/12, Google-Urteil Dako 2014/11
Dako 1 | 2014
21
das lesen wir
BUCHTIPPS VERFASSUNG KOMPAKT GRUNDRECHTE UND RECHTSSCHUTZ
Von Gerhard Holzinger und Benedikt Kommenda, 2. Auflage. Linde Verlag, Wien 2013. 424 Seiten, br, E 19,90. Jeder mit dem Datenschutzrecht Befasste muss auch über die Grundlagen, eben die Verfassung, die Grundrechte im Allgemeinen sowie über Verwaltung und Gerichtsbarkeit und das Wesen des Rechtsstaats Bescheid wissen. Auf über 400 Seiten wird all dies in leicht lesbarer Weise – samt Wörterbuch zur Verfassung – vermittelt. Das Werk würde es sogar verdienen, als Pflichtlektüre in den Lehrplan zumindest der höheren Schulen Eingang zu finden. Mit Befriedigung wird festgestellt, dass auch die mehr als kompetenten Herausgeber als Voraussetzung für eine Säumnisbeschwerde nicht von „Bescheiderlassung“ sprechen, sondern von Verletzung der Entscheidungspflicht. Die Drittwirkung des Grundrechts auf Datenschutz ist seit 1. 1. 2014 in § 5 Abs 4 DSG 2000 geregelt; allerdings mit gleicher Wirksamkeit wie seinerzeit in § 1 Abs 5 leg cit. Ernst M. Weiss BIG DATA – DIE REVOLUTION,
wirkungen wir in den nächsten Jahren immer stärker spüren werden. Das Buch wurde noch vor Edward Snowdens Enthüllungen über die Methoden des US-Geheimdienstes NSA geschrieben, spricht aber auch bereits die Problematik eines umfassenden staatlichen Spitzelwesens durch Big Data an. Die Autoren plädieren dafür, die enorm wachsenden Möglichkeiten der Datenverarbeitung nicht zu vergöttern, sondern sie mit Augenmaß und Menschlichkeit einzusetzen. Den Abschluss des Buchs bilden drei Forderungen: n Erstens müssten Nutzer personenbezogener Daten verpflichtet werden, für jeden neuen Verwendungszweck eine förmliche Prüfung gerade auch im Hinblick auf die Auswirkungen für die Betroffenen durchführen – und bei mangelnder Durchführung auch stärker zur Verantwortung gezogen werden. n Zweitens müsse die Gesellschaft das Konzept von Gerechtigkeit neu definieren, um in einer Welt von Big-Data-Vorhersagen die Handlungsfreiheit des Menschen zu sichern. n Drittens bräuchten wir neue Institutionen und Berufe, wie zB den Algorithmiker, der die komplexen Rechenvorgänge hinter den Ergebnissen von Big-DataAnalysen erklären und Geschädigten beistehen kann. Christoph Weiss
DIE UNSER LEBEN VERÄNDERN WIRD
Von Viktor Mayer-Schönberger und Kenneth Cukier. Redline Verlag, 2013. 300 Seiten, geb, E 25,70. Anhand von Beispielen, wie die Grippeepidemie 2009 in den USA mit der Gefahr einer Pandemie, zeigen die Autoren, ein Hochschullehrer und ein Journalist, auf, wie die Auswertung großer Datenmengen Vorhersagen ermöglichen kann. Das weltweite Datenvolumen verdoppelt sich alle zwei Jahre, während die Analysemethoden immer effizienter werden. Die Welt bewegt sich von der Suche nach Kausalitäten hin zum Erkennen von Korrelationen. Viktor Mayer-Schönberger und Kenneth Cukier erklären mit wissenschaftlicher Genauigkeit, aber auch in spannender Erzählweise einen technologischen und gesellschaftlichen Wandel, der uns erreicht hat, der jeden einzelnen betrifft und dessen Aus-
22 Dako 1 | 2014
ARBEITNEHMER-DATENSCHUTZ UND MITARBEITERKONTROLLE HANDBUCH
Von Josef Grünanger und Wolfgang Goricnik. Verlag Manz, Wien 2014. 272 Seiten, geb, E 54,–. Josef Grünanger, früher Universitätsassistent am Institut für Arbeits- und Sozialrecht der Universität Wien und nun Rechtsanwaltsanwärter in Wien, und Wolfgang Goricnik, Leiter des Referats „Wirtschaft und Recht“ der Arbeiterkammer Salzburg, fachkundiger Laienrichter für den Fachbereich Datenschutz am Bundesverwaltungsgericht und gleichzeitig Beirat dieser Zeitschrift, haben ein hervorragendes Werk im Bereich Arbeitnehmerdatenschutz und Mitarbeiterkontrolle verfasst. Im Vorwort setzen sich die Autoren das Ziel, mit diesem Praxishandbuch das Span-
nungsverhältnis von Arbeitnehmer, Datenschutz und Mitarbeiterkontrolle erstmalig juristisch derart zu beleuchten, dass nach einer allgemeinen Darstellung einschlägiger Normen das gegenständlich anzuwendende Spektrum von Privat- und Arbeitsrecht über das Datenschutzrecht bis hin zum Europarecht sowie die daraus abgeleiteten abstrakten Wertungen auf ausgewählte praxisrelevante und aktuelle Kontrollarten übertragen werden. Nach einer allgemeinen Einführung individualrechtlicher, datenschutzrechtlicher und kollektivrechtlicher Bestimmungen sowie prozessrechtlicher Aspekte und Rechtsfolgen bringt das Buch dann tatsächlich alles, was einem in der juristischen Praxis hinsichtlich Mitarbeiterdatenverarbeitung und Arbeitnehmerdatenschutz begegnet. Es beginnt bei Personenund Taschenkontrollen sowie Gesundheitskontrollen (von der Einstellungsuntersuchung über die gentechnische Analyse bis zur Drogenkontrolle). Dann geht es um die überaus heikle Verarbeitung von Krankenstandsinformationen, das Thema Videoüberwachung am Arbeitsplatz und die äußerst schwierige Thematik der Kontrolle der Internet-Nutzung und des E-Mail-Verkehrs der Mitarbeiter im Unternehmen. Das Buch endet mit einem „Feuerwerk“ modernster Technologien, die laufend nun auch in Österreich auf die Arbeitnehmer niederprasseln, von den RFID-Chips über die GPS-Ortung zur Ortung von Mobiltelefonen, garniert durch Praxisbeispiele, wie etwa der heimlichen Überwachung zur Strafverfolgung wegen Bekämpfung des Spesenbetrugs oder zum Flottenmanagement, und endet dann mit den auch in meiner täglichen anwaltlichen Beratung absolut relevanten Themenblöcken Whistleblowing, Personaldatentransfer im Konzern und digitale Personalakte. Alle Themen werden juristisch seriös aufgearbeitet und werden trotz der Herkunft von Goricnik aus der Arbeitnehmerberatung nicht einseitig fordernd, sondern ausgewogen dargestellt. Die rund 270 Textseiten sind dermaßen vollgepackt mit allem, was in den Unternehmen tatsächlich ansteht, dass das Buch geradezu ein „Musthave“ für all jene ist, die diese Themen „an der Front“ bearbeiten müssen. Rainer Knyrim
das gibt es
ZUM HINGEHEN SEMINARE n 23. 9. 2014: Datenschutz-Compliance Business Circle, im Rahmen des Lehrgangs zum zertifizierten Compliance Officer. Referent: RA Dr. Rainer Knyrim. www.businesscircle.at/recht-steuern/ lehrgang/praxislehrgang-zum-zertifiziertencompliance-officer-fuer-corporates n 27. – 29. 10. 2014: Ausbildung zum zertifizierten Datenschutzbeauftragten Business Circle. Referenten: RA Dr. Rainer Knyrim und Christoph Wenin (Datenschutzbeauftragter und Informationssicherheitsbeauftragter von Rewe Österreich). www.businesscircle.at/recht-steuern/ seminar/praxisseminar-zum-zertifiziertendatenschutzbeauftragten n 28. – 30. 10. 2014: Zertifizierter Datenschutzbeauftragter Referenten: Mag. Ing. Markus Oman, CSE; Mag. jur. Siegfried Gruber (beide O.P.P – Beratungsgruppe). www.confare.at/10676_DE-7250_ Zertifizierter_DatenschutzbeauftragterEinfuehrung.htm n 29. 10. 2014: A-Trust Info Day 2014 O.P.P. am A-Trust Info Day 2014. Mehr Sicherheit bei Geschäftsprozessen in der Wirtschaft. Information & Anmeldung: Karin.Hellauer@a-trust.at n 4. 11. 2014: HR-Daten – Erlaubtes & Verbotenes Business Circle. Referenten: RA Dr. Rainer Knyrim; RA Dr. Barbara Bartlmä. www.businesscircle.at/humanresources/seminar/hr-daten-erlaubtesverbotenes n 10. – 11. 11. 2014: IT-Recht: So vermeiden Sie Strafen und Haftung Confare. Referenten: RA Dr. Rainer Knyrim; Mag. Ing. Markus Oman (O.P.P.); Mag. Peter Groschedl (BMF). www.confare.at/10696_DE-7242_ IT-Recht_112014-Einfuehrung.htm n 11. 11. 2014: Datenschutzrecht aktuell Business Circle. Referenten: Dr. Eva Souhrada-Kirchmayer (Richterin am Bundesverwaltungsgericht); Herr Mag. Georg Lechner (Datenschutzbehörde). www.businesscircle.at/recht-steuern/ seminar/datenschutzrecht-aktuell-2
17. 11. 2014: Datenschutz im modernen Unternehmen – Vom Gesetzestext zur unternehmenskonformen Umsetzung Secur-Data. Referent: Prof. KommR HansJürgen Pollirer. Anmeldung: www.secur-data.at n 17. – 18. 11. 2014: Ausbildung zum internen Datenschutzbeauftragten Secur-Data. Referenten: Prof. KommR Hans-Jürgen Pollirer; Mag. Jürgen Stöger. Anmeldung: www.secur-data.at n 26. 11. 2014: Daten richtig schützen! Keiner entkommt dem Datenschutz! WiFi OÖ. Referent: Mag. Ing. Markus Oman, CSE (O.P.P – Beratungsgruppe). Information & Voranmeldung: office@opp-beratung.com n 4. 12. 2014: eProzess – Tag 2014 Bezahlbare Compliance für IKS – Datenschutz – IT-Recht (Effizienz und Rechtssicherheit der Prozesse und Technologien). Information & Voranmeldung: office@opp-beratung.com n 11. 12. 2014: Datenschutz & Recht Confare. Referenten: Mag. Ing. Markus Oman, CSE; Mag. Gerold Pawelka. www.confare.at/10784_DE-7248_ Datenschutz_Recht_-Das_Programm.htm n
KONGRESSE
18. – 20. 11. 2014: IAPP Europe Data Protection Congress IAPP. Mit dutzenden Referenten, darunter RA Dr. Rainer Knyrim mit „Civil Drone Use: Keeping it Civil with Privacy by Design“. https://privacyassociation.org/ conference/iapp-europe-data-protectioncongress-2014/sessions/ n
ZUM STAUNEN DATENSCHUTZINDIKATOR ZUM SELBSTTEST
Der TÜV SÜD bietet mit seinem Datenschutzindikator (DSI) eine erste Möglichkeit für Firmen, eine Selbsteinschätzung in Sachen Datenschutz vorzunehmen. Der DSI berücksichtigt die wesentlichen Grundaspekte des Datenschutzmanagements und zeigt Unternehmen, wo Nachholbedarf besteht. Zwar dient der DSI nach Aussage der Betreiber nur einer ersten Einschätzung, die 21 Fragen decken aber auch schon viele Details ab – von der geregelten Verfahrensweise bei Kundenauskünften bis zum Datenträgervernichtungskonzept für Altgeräte. Das Ergebnis der eigenen Umfrage kann man sich nebst einschätzender Kom-
mentare herunterladen. Der DSI ist für die deutsche Rechtslage gemacht (daher keine Fragen zum Status der datenschutzbehördlichen Verfahren!); diese Basiseinschätzung ist aber auch für Österreich hilfreich, um so manches Unternehmen in Staunen darüber zu versetzen, wo es datenschutzrechtlich steht: www.datenschutzindikator.de/ WIE MAN AUF DIE NO-FLY-LISTE KOMMT
Falls Sie immer schon wissen wollten, wie Sie auf die No-Fly-Liste der US-Regierung kommen, dann müssen Sie diesen Beitrag auf www.heise.de lesen: http://heise.de/-2267193 In diesem Beitrag wird der Inhalt des „Regelbuchs“ der US-Behörden, unter welchen Umständen jemand auf die No-FlyListen kommt und wie mit diesen Listen weiter umzugehen ist, zusammengefasst. Liest man die Bedingungen und die Rechtsschutzmöglichkeiten, dann bleibt einem als historische Vergleichsmöglichkeit nicht viel mehr übrig als die Stasi oder, noch weiter zurück, wie man im Mittelalter vermutlich zur „Hexe“ abgestempelt und von der Inquisition angeklagt wurde. IM NÄCHSTEN HEFT Heft 2 von „Datenschutz konkret“ wird ua Folgendes beinhalten: n Interview mit der Datenschutzbeauftragten des Pharmaunternehmens Boehringer Ingelheim zur Positionierung und Tätigkeit einer betrieblichen Datenschutzbeauftragten in der Praxis; n einen Bericht über ein Praxisprojekt, bei dem SAP HR in 20 Ländern eines Konzerns eingeführt wurde, wobei die Projektverantwortlichkeit bei der CEE-Zentrale in Wien lag; n einen weiteren Beitrag zum betrieblichen Datenschutzbeauftragten n und natürlich aktuelle Judikatur zum Datenschutzrecht.
Dako 1 | 2014
23
die kurzmeldung
LEGISTIK STAND DER EU-DATENSCHUTZREFORM
Der im Jänner von der EU Kommission eingebrachte Vorschlag für eine Datenschutzreform ist – auch bedingt durch die Neuwahlen zum EU Parlament – ins Stocken geraten. Während das Parlament seine erste Lesung bereits im März 2014 abgeschlossen und damit seinen Standpunkt bezogen hat, wird der Entwurf im Rat kapitelweise abgeund verhandelt. Die strittigen Punkte reichen sind vielfältig und haben durch das Google-Urteil des EuGH an Komplexität gewonnen. Die neue für Datenschutz zuständige Kommissarin Martine Reicherts nimmt in einer Rede darauf Bezug und ruft zur raschen Umsetzung der Reform auf (tinyurl.com/p8pyzys). Die eher schwer zugänglichen Dokumente des Rats sind auf einer privaten Website unter tinyurl.com/ n9t52cq abrufbar. Der derzeitige Verhandlungsstand in konsolidierter Fassung ist auf der Website von Statewatch zu finden (www.tinyurl.com/nklvalc). JUDIKATUR NEUE DOKUMENTE DER ART 29-ARBEITSGRUPPE
Die Publikationen der Art 29-Arbeitsgruppe sind wertvolle Interpretationshilfen in der praktischen Anwendung des Datenschutzrechts. Im ersten Halbjahr 2014 hat sich dieses Gremium, das sich aus den Leitern der unabhängigen Datenschutzbehörden der EUMitgliedstaaten zusammensetzt, in ihren Stellungnahmen mit folgenden Themen beschäftigt (ec.europa.eu/justice/dataprotection/article-29/index_en.htm): n 1/2014 zur Anwendung der Begriffe der Notwendigkeit und der Verhältnismäßigkeit sowie des Datenschutzes im Bereich der Strafverfolgung WP 211; n 2/2014 zu verbindlichen unternehmensinternen Regelungen und für den grenzüberschreitenden Datenschutz WP 212; n 3/2014 über die Meldung von Verletzungen des Schutzes personenbezogener Daten („Data Breach Notification Duty“) WP 213; n 4/2014 zur Überwachung der elektronischen Kommunikation zu nachrichtendienstlichen und nationalen Sicherheitszwecken WP 215; n 5/2014 zu Anonymisierungstechniken WP 216; n 6/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC WP 217;
24 Dako 1 | 2014
n
7/2014 on the protection of personal data in Quebec WP 219.
VORRATSDATENSPEICHERUNG
Nachdem Anfang April 2014 der EuGH der Vorratsdatenspeicherung ein Ende gesetzt hatte (C-293/12 und C-594/12, Digital Rights Ireland und Seitlinger, ua), entschied der VfGH im zugrundeliegenden Anlassverfahren Ende Juni 2014, dass die Vorratsdatenspeicherung dem Grundrecht auf Datenschutz und dem Recht auf Privatsphäre widerspricht, und hob die entsprechenden Rechtsgrundlagen mit Wirkung 1. 7. 2014 auf (G 47/2012 ua). Das deutsche Bundesverfassungsgericht hatte die Vorratsdatenspeicherung – sozusagen ohne EU-Schützenhilfe – bereits im März 2010 gekippt (1 BvR 256/08; 1 BvR 263/08; 1 BvR 586/ 08), das tschechische Verfassungsgericht folgte diesem Beispiel ein Jahr später (www.tinyurl.com/qac8tlx). Mittlerweile haben auch die Verfassungsgerichte von Slowenien und Rumänien die Bestimmungen zur Vorratsdatenspeicherung aufgehoben (www.digitalrights.ie/ category/data-retention/). Das irische Anlassverfahren für das Vorabentscheidungsverfahren vor dem EuGH war bei Redaktionsschluss noch offen. Anders in Großbritannien: Dort hat man die Vorratsdatenspeicherung mittels Gesetz wieder eingeführt (www.orf.at/stories/2238369/).
tem Niveau (mit einem Ausreißer im ersten Halbjahr 2013), im zweiten Halbjahr 2013 konnte die durchschnittliche Erledigungsdauer auf unter vier Monate gesenkt werden. Bei Genehmigungsverfahren im internationalen Datenverkehr war mit einer Bearbeitungsdauer von über sechs Monaten zu rechnen. Zur Dauer der Registrierungsverfahren wurden keine Zahlen veröffentlicht. Zu beobachten ist ferner eine deutliche Zunahme der amtswegigen Prüfverfahren, wenngleich in Summe weiterhin sehr wenige Verfahren eingeleitet werden. Mehr als die Hälfte der angefochtenen Bescheide wurden durch die Höchstgerichte bestätigt, wobei der Großteil der positiv erledigten Beschwerden auf das EuGH-Urteil zurückzuführen war, in dem die mangelnde Unabhängigkeit der Datenschutzkommission festgestellt wurde. Nach Verfahrensarten gegliedert werden die im Berichtszeitraum erlassenen Entscheidungen erläutert (wobei diese alle auch im RIS abrufbar sind). Handlungsbedarf des Gesetzgebers sieht die Behörde in drei Punkten: n Entlastung des Datenverarbeitungsregisters; n Ausräumung der Rechtsunsicherheiten im Zusammenhang mit Bonitätsinformationen; n Nachschärfung der Bestimmungen zur Videoüberwachung. ELGA VERSCHOBEN
VERWALTUNG DATENVERARBEITUNGSREGISTER: NEUE INFORMATIONSVERBUNDSYSTEME KÖNNEN NUR PER E-MAIL GEMELDET WERDEN
Seit 1. 9. 2012 sind Meldungen zum Datenverarbeitungsregister (DVR) nur mehr über das DVR-Online zulässig. Aufgrund technischer Hürden gilt dies derzeit nicht für die Erstmeldung eines Informationsverbundsystems (www.dsb.gv.at/site/6295/ default.aspx).
Anfang Juli wurde verkündet, dass die erste Ausbaustufe von ELGA (das Einspeisen der Daten durch Spitäler) erst Ende und nicht schon Anfang 2015 starten wird. Abmelden kann man sich dennoch bereits jetzt: Entweder mittels Bürgerkarte/Handysignatur (die für alle Finanz-Online-Nutzer bequem über das Internet bestellt werden kann) oder konventionell mittels Formular auf www.gesundheit.gv.at NAMEN DER PATIENTEN AN DER TÜRE
DATENSCHUTZBERICHT 2013
DES SPITALSZIMMERS BEDENKLICH
Anfang Mai veröffentlichte die Datenschutzbehörde ihren Bericht für den Zeitraum 2012/2013 auf ihrer Website www. dsb.gv.at. Die Ausführungen zu den Organen der Datenschutzkommission sind allerdings nur mehr von historischem Interesse, weil diese mit 1. 1. 2014 von der monokratischen Datenschutzbehörde abgelöst wurde. Ein paar Highlights aus den vorgelegten Statistiken zur Tätigkeit: Die eingelangten Individualbeschwerden bleiben auf konstan-
Die Zeitschrift Konsument berichtet in ihrer Ausgabe 8/2014 von einer Intervention der PatientInnen- und Pflegeombudsschaft Steiermark (PPO). Patienten eines Spitals hatten sich über die an den jeweiligen Zimmertüren angebrachten Namensschilder beschwert. Zukünftig wird bei der Aufnahme eine entsprechende Zustimmungserklärung eingeholt werden. Viktoria Haidinger, Wirtschaftskammer Österreich
http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.manz. manz.at/list.html?tisbnbn=9783-214-088669_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL 97832140 669 5&&ututm_source Das gesamte http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source _source=Ie nserat&Datenschutzrecht utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL 5&utm_source http://www.manz.at/list.html?tisbn=978-3-214-08669-online _source=Ie nserat&aus utm_medium=App&ut m_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL Expertenhand http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source _source=Ie nserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source _source=Ie nserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source _source=Ie nserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source _source=Ie nserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL n=9978-3-2114-4-088669669-5&utm_source http://www.mamaanz.nz.at/list.html?tisbbn=978_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.manz.at/list.html?tisbn=978sbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL l?tisbn=978-· 3Pollirer -214-08669-5&ut·mWeiss _source=Inserat· Knyrim &utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.manz.nz.at/list.htmDohr http://www.w.manz.at/list.html?tisbn=978-3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL Datenschutzrecht linklusive ?tisbn=978-3-214-086695 &utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www.w.manz.at/list.htmDSG 17. Ergänzungslieferung 3-214-08669-5&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Dohr-DSG-16EL http://www..manz.at/list.htmDerl?tisbn=978Loseblatt-Kommentar zum Datenschutzrecht bietet: Loseblattwerk in 2 Mappen inkl 17. Erg.-Lfg. 2014. EUR 290,– ISBN 978-3-214-08669-5
Im Abonnement zur Fortsetzung vorgemerkt.
Dieses Werk ist auch online erhält lich. Preis ab EUR 170,40 / Jahr (exkl. USt). Nähere Informationen und Bestellung unter Tel.: +43 1 531 61 655 bzw. rdb@manz.at oder auf www.manz.at/dsg
• das DSG 2000 samt Durchführungsverordnungen, Landes-Datenschutzgesetzen und EU-Recht • datenschutzrechtliche Sondernormen aus den unterschiedlichsten Materien (Spezieller Datenschutz) wie Computerstrafrecht, GewO, SPG, E-GovG, MeldeG oder TKG • alles zum internen Datenschutzbeauftragten mit Prüffragenkatalog und Mustern Verständlich auf bereitet durch ausführliche Kommentierung im Anmerkungsteil, relevante Judikatur im Entscheidungsteil sowie Materialien und Schrifttum. Jetzt in der 17. Lieferung: • die DSG-Novelle 2014 eingearbeitet • viele neue Entscheidungen und Anmerkungen (zB zu „Big Data“, ELGA) • der Prüffragenkatalog komplett überarbeitet • das Stichwortverzeichnis aktualisiert
MANZ’sche Verlags- und Universitätsbuchhandlung GmbH tel + 43 1 531 61 100 fax + 43 1 531 61 455 bestellen@manz.at Kohlmarkt 16 ∙ 1014 Wien www.manz.at
http://www.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz http://www.ww.manz.at/list.html?tisbn=978-3-214-So 02068-2&utgelingt m_source=Inserat&utm_mediuder m=App&utm_contSpagat ent=Textlink&utm_campaign=BuchGruenanger-ArbeitnehmerDatenschutz zwischen http://www.ww.manz.at/list.html?tisbn=978-3-214-Datenschutz 02068-2&utm_source=Inserat&utm_medium=App&utmund _content=Textlink&utKontrolle! m_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz http://www.ww.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz http://www.ww.manz.at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz n=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz http://www.ww maanz.nz at/list.html?tisbbn=978ruenang ArbeitnehmerDatenschutz http://www.manz..atat/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenangerat/list.html?tisbn=978-· Goricnik 3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textlink&utm_campaign=Buch-Gruenanger-ArbeitnehmerDatenschutz http://www.ww.maanz.Grünanger wwwww.manz.Arbeitnehmer-Datenschutz at/list.html?tisbn=978-3-214-02068-2&utm_source=Inserat&utm_medium=App&utm_content=Textund link&utm_campaiMitarbeitergn=Buch-Gruenanger-ArbeitnehmerDatenschutz http://www. 2014. LVI, 272 Seiten. Geb. EUR 54,– ISBN 978-3-214-02068-2
kontrolle • • • • • •
aktuelle Rechtsprechung der Gerichte und der Datenschutzkommission – ausführlich dargestellt Erfordernisse einer gesetzmäßigen Mitarbeiterkontrolle Berücksichtigung des öffentlichen Dienstrechts, zB der IKT-Nutzungsverordnung Rechte des Betriebsrats und der Beschäftigten Ausführliche Darstellung aller möglichen Kontrollarten im Besonderen Teil Ausführungen zum Thema Beweisverwertungsverbote im arbeitsgerichtlichen Verfahren
M ANZ’sche Verlags- und Universitätsbuchhandlung GmbH tel + 43 1 531 61 100 fax + 43 1 531 61 455 bestellen@manz.at Kohlmarkt 16 ∙ 1014 Wien www.manz.at
Wir schließen Ihre Lücken im Datenschutzrecht.
Preslmayr Rechtsanwälte OG Universitätsring 12, A-1010 Wien Tel: +43(1)-533 16 95 www.preslmayr.at