In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

ds-inhouse-kriminalpolizei-diebstahl

Werbung 
Datenschutz Grundlagen
Praxis, Entscheidungen, Perspektiven
Hans G. Zeger, ARGE DATEN
Stegersbach, Hotel Allegria, 15. September 2014 und folgende
ARGE DATEN
© ARGE DATEN 2014
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATEN
Öffentlichkeitsarbeit, Informationsdienst:
- Web-Service: 60-80.000 Besucher/Monat
- Newsletter: rund 4.500 Abonnenten
- 2013: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen
- 2013: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services
- 2013: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder
- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
A-CERT - Zertifizierungsdienstleister gem. SigG
ARGE DATEN
© ARGE DATEN 2014
Es sind nicht bloß Daten
vor den Menschen zu
schützen, sondern den
Menschen ist in der
Informationsgesellschaft das Grundrecht
auf Privatsphäre zu
sichern.
ARGE DATEN
© ARGE DATEN 2014
Aufgezeichnet von einer CCTV-Kamera
Wen bedroht der Mann?
Sehen wir
mehr, wenn
wir genauer
hinsehen?
[Ausschnitt aus: "faceless, 2008"]
Dr. Hans G. Zeger
ARGE
© Hans
ARGE G.
DATEN
Zeger2014
2009
DATEN
5 überwachte Verdächtige ...
... fünftausend überwachte Betroffene
Wer gehört zum Netzwerk?
Wer ist die
Kommandozentrale?
Der lang gesuchte „Pate“?
Oder nur das Pizzaservice,
das alle lieben?
Oder ist das Pizzaservice doch
die Tarnung für den „Paten“?
Dr. Hans G. Zeger
ARGE
© Hans
ARGE G.
DATEN
Zeger2014
2009
DATEN
Wer ist verdächtig?
- überqueren der Straße, abseits vom Zebrastreifen
- in Öffentlichkeit Dose in der Hand halten
- stehen in Hauseingängen
- stehen vor Häusern, Bahnhöfen, ...
- stehenbleiben vor einem Auto
- gehen von einem Auto zum nächsten
- längeres Herumstehen allgemein
- Laufen
- Bewegen mehrerer Menschen aus verschiedenen Richtungen
auf einen Punkt zu
Aus INDECT, einem EU-Projekt zur Zusammenführung
aller erdenklicher (Video-)Daten
und deren automatisierter Auswertung
© ARGE DATEN 2014ARGE
DATEN
... verdächtig ist auch ...
- Wer
- Wer
- Wer
- Wer
- Wer
Halal-Speisen im Flugzeug bestellt
immer wieder umbucht
bei auffälligen Reisebüros bucht
Oneway-Tickets bucht
auffällige Namen trägt
"Erkenntnisse" des Department of Homeland Security
... aber auch ...
- Wer Socken in seiner Tasche transportiert
Erkenntnisse lt. Zeitschrift Polizei 10-12/2011
... und auch ...
- Wer Smartphones ohne Ladegerät auf ebay & Co anbietet
Erkenntnisse lt. einer Online-Handelsplatform
© ARGE DATEN 2014ARGE
DATEN
Wanted!
Machen technische
Fehler uns alle
verdächtig?
ARGE
© Hans
ARGE G.
DATEN
Zeger2014
2009
DATEN
Geplanter Ablauf
Grundlagen DSG 2000
Schutz der Privatsphäre
Auswahl Bestimmungen DSG 2000
Datenschutz Sicherheitsbehörden
Weitere DSG-Bestimmungen
Schlussbemerkung
ARGE DATEN
© ARGE DATEN 2014
Grundlagen des DSG 2000
Die wichtigsten Begriffe
Zustimmung
Zulässigkeit der Datenverwendung
Rechtmäßige Datenanwendung
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Entwicklung zum DSG 2000
1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978)
(Geltung 1.1.1980-31.12.1999)
1995 EG-Datenschutzrichtlinie 95/46/EG
1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999)
Wichtige Änderungen zum DSG 2000 (Auswahl)
2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001)
2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005)
2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008)
2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)
2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012)
2013 DSG 2000 - Novelle 2013 (BGBl. I Nr. 57/2013)
2013 DSG 2000 - Novelle 2014 (BGBl. I Nr. 83/2013)
20?? EU - Neuordnung des Datenschutzes
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Umsetzung der EU-Richtlinie "Datenschutz" (1995)
soll Privatsphäre (Art.1 Abs.1) und
Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern
Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und
insbesondere den Schutz der Privatsphäre natürlicher Personen bei der
Verarbeitung personenbezogener Daten."
Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht
den freien Verkehr personenbezogener Daten zwischen
Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten
Schutzes."
EU-RL gilt nur für "natürliche Personen"
DSG 2000 auch für "juristische und sonstige Personen"
damit vertritt Österreich EU-weit eine exotische Position
Bestimmungen betreffen alle Verwendungsformen persönlicher
Daten, nicht nur automatisiert verarbeitete Daten
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundrecht
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung persönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Europarechtliche Grundlage (Art. 8 RL 95/46/EG
„Datenschutz-Richtlinie“) +
Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
Einschränkungen des Verbots sind möglich:
- mit der Zustimmung des Betroffenen
- in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit)
- zur Wahrung überwiegender Interessen Auftraggeber/Dritter
- bei "allgemeiner" Verfügbarkeit von Daten
- bei lebenswichtigen Interessen des Betroffenen/Dritter
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundrecht
DSG 2000 § 1 Abs 2 "behördliche Eingriffe":
"(2) [...] Beschränkungen des Anspruchs auf Geheimhaltung [...] bei Eingriffen
einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8
Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und
Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig
sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach
besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher
Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den
Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle
zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in
der gelindesten, zum Ziel führenden Art vorgenommen werden."
zulässige Gesetze gemäß EMRK (Auszug):
- Aufrechterhaltung öffentliche Ruhe und Ordnung
-
Verteidigung der Ordnung
Verhinderung von strafbaren Handlungen
Schutz der Moral
Schutz der Rechte und Freiheiten anderer
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 1
"Daten" ("personenbezogene Daten")
"Angaben über Betroffene (Z 3), deren Identität bestimmt oder
bestimmbar ist"
DSG 2000 § 4 Z 3
"Betroffener"
"jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische
Person oder Personengemeinschaft, deren Daten verwendet (Z 8)
werden"
Datenbegriff sehr allgemein gehalten, umfasst
auch Bild- und Tondaten, biometrische Daten,
technische Kennzahlen (z.B. Stromverbrauchsdaten,
IP-Adressen, ), Informationen über Sachen
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Personenbezogene Daten
Indirekt personenbezogene Daten
§ 4 Z 1 DSG 2000 (kein EU-Begriff!)
personenbezogene Daten § 4 Z 1 DSG 2000
sonstige besonders schutzwürdige
Daten § 18 Abs. 2 DSG 2000
(kein EU-Begriff)
sensible Daten
§ 4 Z 2 DSG 2000
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 2 ("sensible" Daten)
Daten natürlicher Personen über
rassische und ethnische Herkunft
politische Meinung
Gewerkschaftszugehörigkeit
religiöse und philosophische Überzeugung
Gesundheit
Sexualleben
Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe,
Speisegewohnheiten, "Kopftuch", Sozialberatung
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 4
"Auftraggeber" / Verantwortlicher für Datenverwendung
"natürliche oder juristische Personen, Personengemeinschaften oder
Organe einer Gebietskörperschaft", Begriff auf das "Verwenden
von Daten" (Z8) abgestimmt (nicht Datenanwendung)
DSG 2000 § 4 Z 5 "Dienstleister"
natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur
Herstellung eines ihnen aufgetragenen Werkes verwenden
(auftragsgemäße Datenverwendung)
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 6
"Datei"
"strukturierte Sammlung von Daten, die nach mindestens einem
[personenbezogenen, Anm.] Suchkriterium zugänglich sind"
DSG 2000 § 4 Z 7
,,Datenanwendung''
"die Summe der in ihrem Ablauf logisch verbundenen
Verwendungsschritte ... Erreichung eines inhaltlich bestimmten
Ergebnisses (des Zweckes der Datenanwendung)"
DSG 2000 § 4 Z 8
" Verwenden von Daten"
"jede Art der Handhabung von Daten, also sowohl das Verarbeiten
(Z 9) als auch das Übermitteln (Z 12) von Daten"
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
DSG 2000 § 4 Z 9 "Verarbeiten von Daten"
"das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der
Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von
Daten"
DSG 2000 § 4 Z 12 "Übermitteln von Daten"
"die Weitergabe von Daten einer Datenanwendung an andere
Empfänger als den Betroffenen, den Auftraggeber oder einen
Dienstleister"
Entscheidung DSK K120.656/16-DSK/00
Übermittlung ist unabhängig von der technischen Methode
DSG 2000 § 4 Z 14 "Zustimmung"
"die gültige, insbesondere ohne Zwang abgegebene Willenserklärung
des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten
Fall in die Verwendung seiner Daten einwilligt"
Widerruf der Zustimmung in § 8 bzw. § 9 geregelt
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Die wichtigsten Begriffe (§ 4 DSG Z ...)
Auftraggeber
Datenanwendung
Z4
Z7
Verwenden
von Daten
Z8
Z9
Übermitteln
Verarbeiten
Z 12
Überlassen
Auftrag
Z 11
Z5
Dienstleister
ARGE DATEN
Ermitteln,
Auswerten,
Sortieren,
Speichern,
Analysieren,
Korrigieren,
Ausdrucken,
Anzeigen, ...
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Grundsätze der Verwendung von Daten (§ 6ff)
Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)
Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke
(§ 6 Abs. 1 Z 2)
Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)
Daten müssen für den Zweck der Datenanwendung wesentlich sein
§ 6 Abs. 1 Z 3)
DSK 120.705/010-DSK/2001 ("gelindester Eingriff")
Zuverlässigkeitsprüfung eines Sicherheitsbeamten durch Gewerbbehörde
 Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel
führenden Datenverwendung orientieren
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Wie kann die Rechtmäßigkeit einer
Datenverarbeitung abgeschätzt werden?
(1) Rechtsgrundlage
Die Verwendung von personenbezogenen Daten muss für ein
legitimes Ziel (Gesetz, Vertrag, ...) erforderlich sein.
(2) Eignung
Die Verwendung von Daten muss geeignet sein um das
bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen.
(3) Erforderlichkeit
Es gibt keine alternative (weniger invasive) Lösung zur
Erreichung des bestimmten Ziels (Zweckes).
(4) Verhältnismäßigkeit
Die Verwendung der Daten führt zu keiner Verletzung
höherwertiger Schutzrechte (Grundrechte).
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Grundlagen
Geheimhaltungsinteressen bei Datenverwendung
(§ 8-nicht-sensible Daten, § 9-sensible Daten)
Wann dürfen Daten jedenfalls verwendet werden?
(Auszug)
- Rechtsgrundlage / gesetzliche Verpflichtungen
- Zustimmung des Betroffenen
- zur Wahrung lebenswichtiger Interessen
- überwiegende Interessen Dritter / Auftraggeber
(nicht anwendbar bei sensiblen Daten!)
z.B. notwendige Voraussetzung zur Vertragserfüllung,
Ausübung von Rechtsansprüchen des Auftraggebers, behördliche
Tätigkeit
- indirekt personenbezogene Daten
- zulässig veröffentliche Daten:
soweit berechtigter Zweck des Verwenders gegeben
- im öffentlichen Bereich: in Erfüllung der Amtshilfe
ARGE DATEN
© ARGE DATEN 2014
Schutz der Privatsphäre
Übersicht
§ 1328a ABGB
Beispiele / Entscheidungen
ARGE DATEN
© ARGE DATEN 2014
Schutz der Privatsphäre - Übersicht
Bestimmungen zum Schutz der Privatsphäre
• EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr)
• StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a
(Fernmeldegeheimnis)
• § 1 DSG 2000 (Geheimhaltung Daten)
• § 16 ABGB (angeborene Rechte)
• StGB z.B. § 118f (Briefgeheimnis), § 119f
(Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch)
• TKG 2003 § 93 (Kommunikationsgeheimnis)
• MedienG § 7ff (Bloßstellung)
• UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen),
§ 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung)
• Regelungen für einzelne Berufsgruppen (siehe Anhang)
• ABGB § 1328a (Bloßstellung)
• StGB § 107a (Anti-Stalking-Bestimmung)
ARGE DATEN
© ARGE DATEN 2014
Schutz der Privatsphäre - §107a StGB
§ 107a StGB Beharrliche Verfolgung / Stalking
- Delikt: beharrliche Verfolgung, gegeben wenn
- räumliche Nähe gesucht (Abs. 2 Z 1) oder
- Kontaktaufnahme mittels Telekommunikation, sonstige
Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder
- Verwendung personenbezogener Daten zur Bestellung von
Waren und Diensten (Abs. 2 Z 3) oder
- Verwendung personenbezogener Daten um Dritte zur
Kontaktaufnahme zu veranlassen (Abs. 2 Z 2)
- Strafrahmen bis zu einem Jahr
ARGE DATEN
© ARGE DATEN 2014
Schutz der Privatsphäre - §1328a ABGB
§ 1328a ABGB Privatsphärebestimmung
(1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines
Menschen eingreift oder Umstände aus der Privatsphäre eines
Menschen offenbart oder verwertet, hat ihm den dadurch
entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der
Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet
werden, die geeignet ist, den Menschen in der Öffentlichkeit
bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung
für die erlittene persönliche Beeinträchtigung.
Abs.2 definiert Substitutionsklausel
- Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt,
etwa Datenschutz- oder Medienrechtsbestimmungen
ARGE DATEN
© ARGE DATEN 2014
Schutz der Privatsphäre - §1328a ABGB
Änderungen durch § 1328a
• Immaterieller Schadenersatz
• Auffangtatbestand für bisher nicht erfasste Verletzungen
Drei Verletzungsarten
• Eingreifen (Eindringen in die Privatsphäre)
• Offenbaren an Dritte (nicht nur Öffentlichkeit)
• Verwerten (wirtschaftlicher Vorteil durch Kenntnisse aus
Privatsphäre)
Voraussetzungen für Schadenersatz nach § 1328a
• Rechtswidrigkeit
• Verschulden (leichte Fahrlässigkeit genügt)
• Erheblicher Eingriff
ARGE DATEN
© ARGE DATEN 2014
Schutz der Privatsphäre - Beispiele
Beispiele für Eingriffe in die Privatsphäre
• private Videoüberwachung, Personenortung,
Radarüberwachung
• Bekanntgabe persönlicher Daten im Internet
• Illegales Abhören von Telefonaten oder Gesprächen
• Hacken von privaten Computern
• Missbrauch von Foto-Handys
• Weitergeben von privat mitgeteilten Geheimnissen
• Überwachung des Standortes eines Mobiltelefonnutzers
ohne dessen Zustimmung
• Offenbaren/Verwerten von Gerichtsurteilen
• Bedrängen durch Kontaktaufnahmeversuche (eMail,
Telefonate, ...)
ARGE DATEN
© ARGE DATEN 2014
Entscheidungen zur Privatsphäre
Entscheidungen zum Schutz der Privatsphäre
• OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses
• OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen
(siehe auch analog OGH 6Ob6/06k)
• OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten
• OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines
Bildes ("private" Aufnahmen von einem Sachverständigen im
Zuge einer Amtshandlung)
• OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen"
ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in
Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen
werden)
• BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen
Veröffentlichung privater Daten in einem Blog ("Cyberstalking")
(begründet auf § 1328a ABGB)
ARGE DATEN
© ARGE DATEN 2014
Auswahl Bestimmungen DSG 2000
Veröffentlichung
Meldepflichten
Informationsverbundsystem
Kontrollbefugnisse Datenschutzbehörde
Informationspflichten
Betroffenenrechte
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Veröffentlichung
Was ist eine zulässige Veröffentlichung?
Veröffentlichen von Informationen
- ist im DSG 2000 Spezialfall der Datenübermittlung
- die Veröffentlichung muss rechtlich zulässig sein
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Registrierung und Genehmigung
Registrierung von Datenanwendungen (§§ 16ff)
- Grundsätzlich besteht für jede Datenanwendung
Registrierungspflicht, aber: es sind nicht alle Datenanwendungen
zu registrieren (§ 17)
- Jede Registrierung erfolgt für bestimmte Datenanwendung, für
bestimmte Datenarten, bestimmte Personengruppen und
bestimmte Zwecke (§ 17)
- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei
erstmaliger Registrierung einer DA zugeteilt (§ 21)
- Registrierung ist kostenlos (§ 53)
- Registrierung soll Transparenz sichern (§ 16)
- Jedermann kann Einsicht in Registrierung nehmen (§ 16)
- Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19)
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Registrierung und Genehmigung
Registrierungsfreiheit (§ 17)
- Standardanwendungen
- DA enthält ausschließlich (!) veröffentlichte Daten
(typischerweise Telefonbuch-CDs u.ä.)
- Führung öffentlich einsehbarer, gesetzlich vorgesehener
Register
- ausschließlich indirekt personenbezogene Daten
- persönliche Datenanwendungen
- publizistische Datenanwendungen
- manuelle Datenanwendungen, die nicht der Vorabkontrolle
unterliegen
- bestimmte DA‘s der Republik Österreich
- DA für Zwecke der Strafverfolgung
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Spezialregelungen
Was ist ein Informationsverbundsystem (IVS)? (§ 50)
gemeinsame Verwendung von Daten in einer DA durch mehrere
[österreichische] Auftraggeber
geeigneter Betreiber ist zu bestellen
Betreiber ist zwecks Eintrag im DVR zu melden
Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)
es können weitere Auftraggeberpflichten an den Betreiber abgetreten
werden
Meldepflichten des Informationsverbundsystems können an Betreiber
formlos übertragen werden (Abs. 2)
Erleichterungen der Meldung zusätzlicher Teilnehmer an
Informationsverbundsystem: es genügt Verweis auf andere Meldung
(Abs. 2a)
Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80%
aus öffentlich-rechtlichen Bereich, 20% private
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Spezialregelungen
Informationsverbundsysteme des BMI
- 16 registrierte Informationsverbundsysteme
- weitere per Gesetz eingerichtete Informationsverbundsysteme
u.a. zentrales Melderegister
Beispiele
- Sachenfahndung
Zweck: Evidenthaltung der Daten von nummerierten Sachen, die
zur Fahndung ausgeschrieben wurden
- Einsatz-Protokoll-System (EPS-WEB)
Zweck: Leitung, Administration und Koordination von
sprengelübergreifenden Einsätzen (insbesondere von
sicherheitspolizeilichen Schwerpunktaktionen oder Fahndungen)
- Kriminalpolizeilicher Aktenindex (KPA)
Zweck: Evidenthaltung Personen, gegen die wegen des Verdachts
einer vorsätzlich begangenen, von Amts wegen zu verfolgenden
gerichtlich strafbaren Handlung Anzeige erstattet wurde + Komplizen
- Sicherheitsmonitor
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle
(DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10)
bestimmte Datenanwendungen unterliegen einer
Vorabkontrolle durch DSB
- DA's die sensible Daten verwenden
- DA's die in Form eines Informationsverbundsystems
betrieben werden
- registrierungspflichtige Videoüberwachungen
- DA's die Daten zur Beurteilung der Kreditwürdigkeit
dienen bzw. strafrechtlich relevante Daten verarbeiten
Voraussetzungen der Vorabkontrolle: Prüfung auch ohne
Verdachtsmomente möglich
Auflagen zum Betrieb der Datenanwendung können erteilt
werden
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Informationspflicht
Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)
Informationspflicht anlässlich Ermittlung
Zweck
Auftraggeber
Spätestens zum Zeitpunkt der Übermittlung
Entfällt,
- bei Datenanwendungen, die durch Gesetz/Verordnung
eingerichtet sind oder
- bei mangelnder Erreichbarkeit der Betroffenen oder
- bei Unwahrscheinlichkeit der Beeinträchtigung der
Betroffenenrechte und Höhe der Kosten der Information
Informationspflicht ist "Bringschuld" des Auftraggebers!
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Informationspflicht
Informationspflicht
(DSG 2000 § 24 Abs. 2a)
Betroffene sind von Datenschutzverletzungen zu informieren
- wenn schwerwiegend und systematisch
- wenn Betroffenen Schaden droht
- Ausnahme: keine Informationspflicht wenn Schaden nur
"geringfügig" und Verständigungsaufwand
"unverhältnismäßig hoch"
Es handelt sich um eine Informationspflicht "light",
die gegenüber dem ursprünglichen Entwurf erheblich
reduziert wurde.
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft (§ 26) I
Auskunft ist auf Verlangen bei Nachweis der Identität zu
geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]
Auskunftsfrist sind 8 Wochen (Abs. 4)
Antragsteller hat am Auskunftsverfahren über Befragung
im zumutbaren Ausmaß mitzuwirken (Abs. 3)
ungerechtfertigter Aufwand ist zu vermeiden
Auskunftsrecht unabhängig
von Registrierungserfordernis [!!]
von einem Vertragsverhältnis
von tatsächlichem Vorhandensein von Daten
von sonstigen Voraussetzungen (Verdacht des
Datenmissbrauchs, einer Datenweitergabe, ...)
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft (§ 26) II
Auftraggeber hat Auskunft zu erteilen über
Zweck der Datenanwendung
die verwendeten Daten in allgemein verständlicher Form
verfügbare Information über ihre Herkunft
allfällige Empfänger oder Empfängerkreise von Übermittlungen
Name und Adresse des Dienstleisters
(muss vom Betroffenen extra verlangt werden)
4 Monate Löschungsverbot nach Einlangen des
Auskunftsbegehrens, aber DSG-Novelle 2010: kein
Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber
(Betroffene) die Löschung wünscht (Abs. 7)
Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen,
Abweichung im Einverständnis der Gegenseite möglich
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Auskunft (§ 26) III
begründete Auskunftsverweigerung /
Auskunftsbegrenzungen sind möglich, u.a.
- Schikaneverbot: Betroffener wurden Daten schon mitgeteilt
(etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein
Betroffener bestimmte Daten sowieso "wissen" müsste
- überwiegende Interessen des Auftraggebers oder Dritter
- aus therapeutischen Gründen (Gesundheitszustand)
- formale Gründe: fehlender Identitätsnachweis, fehlender
Kostenersatz, fehlende Mitwirkung, ...
Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei
ansonsten tatsächliche Kosten oder pauschalierter Ersatz
Auskunftsrecht ist "Holschuld" des Betroffenen!
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Betroffenenrechte
Betroffenenrecht - Löschung/Richtigstellung
(§ 27)
- grundsätzlich besteht Richtigstellungspflicht des Auftraggebers
sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder
unzulässig verarbeitete Daten sind zu löschen
- Betroffene können Richtigstellungsantrag stellen
- Verpflichtung gilt auch für unvollständige Daten, veraltete
Daten, irreführende Daten
Beweislast der Richtigkeit von Daten, wenn beantragte
Änderung verweigert wird, liegt beim Auftraggeber
Jedoch! Werden Daten ausschließlich gemäß
Betroffenenangaben verarbeitet hat der Betroffene
Fehler/Änderung zu belegen
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Kontrollbefugnisse
Beschwerdeverfahren vor DSB (§ 31)
- bei allen Auskunftsverfahren nach § 26, zusätzlich bei
Auskünften im Zusammenhang mit automatisierten
Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von
Betreibern von Informationsverbundsystemen (§ 50 Abs. 1)
(§ 31 Abs. 1)
- Verletzungen des Rechts auf Geheimhaltung (§ 1) oder
Löschung und Richtigstellung (§ 27 und § 28) bei
Datenanwendungen die in Vollziehung der Gesetze
betrieben werden (§ 31Abs. 2)
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Kontrollbefugnisse
Beschwerdeverfahren vor Gericht (§ 32)
- Gerichtszuständigkeit: gegenüber Rechtsträgern die
Datenanwendungen "nicht in Vollziehung der Gesetze"
betreiben (Abs. 1)
- Klarstellung der Gerichtszuständigkeit bei Einstweiligen
Verfügungen (Abs. 4)
- Möglichkeit der Nebenintervention der DSB bei
Zivilklagen, jetzt "Einschreiter" (Abs. 6)
- Gericht kann DSB auf Überprüfung nach DSG 2000 §§
22 und 22a ersuchen (Abs. 7)
ARGE DATEN
© ARGE DATEN 2014
Datenschutz Sicherheitsbehörden
Sicherheitspolizeigesetz
Strafprozessordnung
Sonstige Bestimmungen
Entscheidungen DSK/DSB
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Grundprinzipien in der Datenverwendung
- jede Tätigkeit erfordert eine gesetzliche Grundlage
- jede Verwendung personenbezogener Daten stellt einen
Grundrechtseingriff dar
- für die Verwendung personenbezogener Daten gelten grundsätzlich
zusätzlich die Bestimmungen des DSG 2000, die Verwendung von
Daten ist (mit Ausnahmen) bei DVR bzw. DSB melde- oder
genehmigungspflichtig
- Ausnahmen der Meldepflicht:
a) per Gesetz eingerichtete öffentlich zugängliche
Datenanwendungen
b) Standardanwendungen
c) Datenanwendungen die zur Aufrechterhaltung der Sicherheit des
Landes erforderlich sind
- Beachtung der Verhältnismäßigkeit (u.a. § 29 SPG)
- unabhängig von Meldung und gesetzlichen Vorgaben ist das Prinzip
des minimalen Eingriffs in Grundrechte und die Zweckbindung zu
beachten (EMRK, Verfassungsbestimmung)
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Datenschutz im Sicherheitspolizeigesetz (SPG)
Regelt Tätigkeit als Sicherheitspolizei, Datenerhebung erfolgt im eigenen
Ermessen
-
Regelung der Verarbeitungsvoraussetzungen (§ 53 Abs. 1)
Regelung zu den Ermittlungsstellen (§ 53 Abs. 3 - 5)
Regelung zum Datenabgleich (§ 53 Abs. 2)
allgemeine Regelung zu Datenanwendungen und Umfang
der verarbeiteten Daten (§§ 53a, 53b)
- Regelung der technischen Datenermittlung (§ 54)
- Regelung der Datenübermittlung (§ 56)
- Regelung zu bestimmten (zentralen) Datenanwendungen
+ zentrale Personenevidenz (§§ 57, 58)
+ Sicherheitsmonitor (§ 58a)
+ Vollzugsverwaltung (§ 58b)
+ zentrale Gewaltschutzdatei (§ 58c)
+ zentrale Analysedatei (§ 58d)
+ (zentrale) erkennungsdienstliche Evidenz (§§ 64 - 75)
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
SPG - Verarbeitungsvoraussetzungen
Unter welchen Bedingungen dürfen personenbezogene Daten
verwendet werden?
- Dokumentation von Amtshandlungen (§§ 13, 13a)
- Ermittlung von sachdienlichen Hinweisen im Rahmen der "ersten
allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1)
Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von
Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab
- § 53 listet zulässige Verarbeitungen auf, u.a.
Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2
(§ 53 Abs. 1 Z 1)
Abwehr gefährlicher Angriffe iS § 16 Abs. 2 (§ 53 Abs. 1 Z 3)
Zwecke der Fahnung iS § 24 (§ 53 Abs. 1 Z 5)
Aufrechterhaltung der öffentlichen Ordnung bei einem
bestimmten Ereignis (§ 53 Abs. 1 Z 6)
Beschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist
unzulässig (§ 53 Abs. 2)
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
SPG - Verarbeitungsvoraussetzungen II
- Verarbeitungsermächtigungen im Zusammenhang mit
wahrscheinlichen Straftaten:
Vorbeugung wahrscheinlicher gefährlicher Angriffe
(§ 53 Abs. 1 Z 4)
Analyse und Bewertung der Wahrscheinlichkeit der
Gefährdung verfassungsmäßiger Einrichtungen
(§ 53 Abs. 1 Z 7)
- Verarbeitungsermächtigung auch zur "erweiterten
Gefahrenerforschung" iS § 21 Abs. iVm § 53 Abs. 1 Z 2a und
§ 91 Abs 3 ("Rechtsschutzbeauftragter")
diese Verarbeitungermächtigungen werden regelmäßig kritisiert,
da ihre Abgrenzung zur permanenten Überwachung legitimer
persönlicher Lebensführung inkl. Meinungsfreiheit ungenau ist
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
SPG - Regelung Ermittlungsstellen § 53
- "Generalermächtigung": alle verfügbaren Quellen durch
Einsatz geeigneter Mittel, insbsondere Zugriff auf allgemein
zugängliche Daten (§ 53 Abs. 4)
- Auskunftsverpflichtung von Gebietskörperschaften /
Körperschaften öffentlichen Rechts (§ 53 Abs. 3)
Anwendungsfall: Abwehr krimineller Verbindungen ( § 53 Abs. 1 Z 2),
erweiterte Gefahrenerforschung ( § 53 Abs. 1 Z 2a) und
Abwehr gefährlicher Angriffe ( § 53 Abs. 1 Z 3)
Beschränkungen: Auskunftsverweigerung nur bei überwiegenden
öffentlichen Interessen, Amtsverschwiegenheit allein kein
Verweigerungsgrund
- Auskunftsverpflichtung von Behörden des Bundes, Landes,
Gemeinden im Zusammenhang mit gefährliche Umweltangriffe
(§ 53 Abs. 3d)
keine Auskunftsverweigerung vorgesehen
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
SPG - Regelung Ermittlungsstellen § 53 II
- Verwendung von Bild- und Tondaten von öffentlichen und
privaten Rechtsträgern (§ 53 Abs. 5)
Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit ( ??),
erweiterte Gefahrenerforschung ( Abs. 1 Z 2a) und Fahndung iS § 24
( Abs. 1 Z 5)
Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten
dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt
worden sein (dazu kann auch die Genehmigung einer
Videoüberwachung durch die DSB gehören)
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
SPG - Regelung Ermittlungsstellen § 53 III
detaillierte Sonderregelung für Telekommunikationsdienste
(Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c)
- Name, Anschrift, Teilnehmernummer: zu einem Anschluss,
generell wenn SPG anwendbar (§ 53 Abs. 3a Z 1)
- Internetprotokolladresse (IP-Adresse),
Übermittlungszeitpunkt: zu einer Nachricht (§ 53 Abs. 3a Z 2)
+ Name, Anschrift: zu einer IP-Adresse (§ 53 Abs. 3a Z 3)
im Rahmen der ersten Hilfeleistungspflicht (lit a)
gefährlicher Angriff (lit b)
kriminelle Verbindung (lit c)
- Name, Anschrift, Teilnehmernummer: unter Bezugnahme auf
ein Gespräch (§ 53 Abs. 3a Z 4)
im Rahmen der ersten Hilfeleistungspflicht oder
gefährlicher Angriff
- Standortdaten, IMSI-Nummer: bei gegenwärtiger Gefahr
(§ 53 Abs. 3b)
ARGE DATEN
© ARGE DATEN 2014
Internet-Ermittlung gemäß SPG
Posting http://derstandard.at/plink/3048421?_pid=7666585#pid7666585
Ermittlungsschritt 1:
Auskunft über IP-Adresse und Zeitpunkt des Postings von
Forumsbetreiber Standard (SPG § 53 Abs. 3a Z 2)
Ergebnis: IP: 99.99.99.99 Zeitpunkt: 26.9.2007 10:19
Ermittlungsschritt 2:
Whois-Abfrage (öffentlich http://whois.ripe.net/) zur IP-Adresse
(SPG § 53 Abs. 4)
Ergebnis: IP-Net-Block wird von Provider (z.B. A1 Telekom) verwaltet
Ermittlungsschritt 3:
Auskunft bei Provider zu Anschlussinhaber von IP-Adresse zum
angegebenen Zeitpunkt (SPG § 53 Abs. 3a Z 3)
Ergebnis: Name, Anschrift des Posters
ARGE DATEN
© ARGE DATEN 2014
Internet-Ermittlung gemäß SPG
Probleme in der Ermittlung
bei Ermittlungsschritt 1:
- es besteht keine Verpflichtung der Redaktion IP-Adresse zu ermitteln
und/oder aufzubewahren
bei Ermittlungsschritt 2:
- Datenbank muss nicht aktuell sein, kann auf falsche Stelle/Person
verweisen (trifft besonders auf "statische" IP-Adressen zu)
- bei ausländischen IP-Adressen greifen die SPG-Bestimmungen nicht
(Tor-Netzwerk, externe Proxy, ...)
bei Ermittlungsschritt 3:
- es besteht keine Verpflichtung des Providers Telekom-Daten länger als für
seine Zwecke nötig aufzubewahren (keine Vorratsdatenhaltung)
- Auskunft bezieht sich nur auf Anschlussinhaber (Vertragspartner), nicht
jedoch auf tatsächlichen Benutzer
- Anschlussinhaber ist nicht verpflichtet besondere Aufzeichnungen über
Nutzer zu machen (z.B. Internet-Cafes, freie LANs, ...)
ARGE DATEN
Möglicherweise
sind die "Mitläufer"
ergiebiger
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Datenschutz in der Strafprozessordnung (StPO)
Regelt Tätigkeit als Kriminalpolizei (StPO § 18), Anordnungsbefugnis von
Staatsanwaltschaft und Gericht
- Organisation der Kriminalpolizei gemäß SPG geregelt
(SPG § 5)
- Regelung des Ermittlungszweckes (StPO §§ 3, 91)
Beischaffung von Entscheidungsgrundlagen zu Anklage, Rücktritt von
der Verfolgung oder Einstellung des Verfahrens ("Objektivitätsgebot")
- Grundsatz der Verhältnismäßigkeit bei der Ermittlung
(StPO § 74)
- Regelung der Ermittlungsvoraussetzungen
(StPO § 99, 100, 103, 169)
Kriminalpolizei ermittelt von Amts wegen oder auf Grund einer
Anzeige, bei Gefahr in Verzug können Genehmigungen nachträglich
(unverzüglich) eingeholt werden
Beschränkung: bei entsprechenden Anordnungen ist die Ermittlung
einzustellen, Sachenfahndung jedoch auch ohne Anordnung möglich
(StPO § 169 Abs. 2)
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Datenschutz in der Strafprozessordnung (StPO) II
- Regelung bestimmter Maßnahmen, z. B. Beschlagnahme
von Briefen (StPO § 135)
sind an bestimmte Straftaten gebunden
- detaillierte Regeln zur optischen, akustischen und
Telekom-Überwachung (StPO §§ 134 - 140)
- Regelung zur Datenermittlung ("Erkundigung") inkl.
Verwertungsverbote (StPO §§ 152ff)
Zeugen zur vollständigen Auskunft verpflichtet
Beschränkungen: Verweigerungs- und Entschlagungsrechte,
Beweisverbote
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Überwachung gemäß StPO (§§ 134–140)
- Überwachung kann nur für zukünftigen Zeitraum angeordnet
werden (StPO § 137 Abs. 3)
- Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen
(StPO § 137 Abs. 1)
- Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und
Diensteanbieter nach E-Commerce-Gesetz (StPO § 138 Abs. 2)
Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen
müssen spezielle technische Einrichtungen zur Überwachung
bereitstellen
- Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger
Überwachung (StPO § 140)
aber: Verwertung von "Zufallsfunden" zulässig, wenn
Überwachungsvoraussetzungen gegeben gewesen wäre
Anzuwenden auf Telekommunikationsdienste (gem. TKG 2003) oder
Dienste der Informationsgesellschaft (gem. Notifikationsgesetz)
Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider,
Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP), ...
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Auswahl sonstiger Bestimmungen
sonstige Bestimmungen, die die Tätigkeit der
Sicherheitsbehörden regeln
-
Passgesetz
Waffengesetz
Polizeikooperationsgesetz
Asylgesetz
Finanzstrafgesetz
Eisenbahngesetz
Straßenverkehrsordnung
Vereinsgesetz
Meldegesetz
...
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
Sicherheitsbehörden - Zusammenfassung
- SPG sieht zahlreiche Aufgaben vor
teilweise zur unmittelbaren Gefahrenabwehr, teilweise darüber
hinaus gehend
- weitere Bestimmungen sehen unterschiedlichste
(Verwaltungs-)aufgaben vor
- Aufgaben unterliegen den Anforderungen des DSG 2000
 zahllose Datenanwendungen
 sobald personenbezogene Daten automationsunterstützt
verarbeitet werden oder der Vorabkontrolle unterliegen
besteht Melde- bzw. Genehmigungspflicht
 Aufsichtsbehörde ist die DSB
 davon abweichend: Tätigkeit als Kriminalpolizei ist durch
StPO geregelt und unterliegt nicht der DSB-Aufsicht,
sondern der Aufsicht durch Gerichte
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
DA Informationsverbund Sachenfahndung
Betreiber: BMI
Teilnehmer: BMI, Magistrat Stadt Wien, Bundespolizeidirektionen
Zweck:
Evidenthaltung der Daten von nummerierten Sachen, die
zur Fahndung ausgeschrieben wurden
Rechtsgrundlage(n): § 24 Abs. 2 iVm § 57 SPG, § 22b Passgeesetz,
§ 55 Waffengesetz, §§ 74, 76, 167 bis 169 StPO
Zulassungsvoraussetzung:
Datenverarbeitung unterliegt der Vorabkontrolle, da
- strafrechtlich relevante Daten verwendet werden
- Informationsverbundsystem vorliegt
Übermittlungsempfänger, Datenarten und Rechtsgrundlagen:
u.a. andere Passbehörden, Finanzstrafbehörden, Gerichte,
Asylbehörden
Betrifft immer Daten von bestimmten Personengruppen!
ARGE DATEN
© ARGE DATEN 2014
Datenschutzanforderungen Sicherheitsbehörden
DA Informationsverbund Sachenfahndung II
Betroffene Personengruppen (Auswahl):
Personen denen folgender Gegenstand entfremdet wurde / verloren
haben bzw. denen der betreffende Gegenstand gehört:
- Dienstpass
- sonstiges Identitätsdokument (Führerschein, waffenrechtliche Urkunde,
Dienstausweis)
- Kraftfahrzeug-Zulassungsschein
- Feuerwaffe
- Zahlungsmittel, Banknote oder Wertpapier
- sonstige Sache (Radio/Fernsehgeräte, Fahrräder, Uhren/Schmuck,
Foto/Filmgeräte, PCs/Zubehör, Sportartikel, Industriemaschine,
Flugzeug, Boot/Schiff, Bootsmotor, Container, sonstige Gegenstände /
Maschinen
Verwaltet werden die Personen deren Sachen entfremdet
wurden, verloren gingen bzw. deren Sachen sichergestellt
wurden, nicht die Gegenstände selbst!
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Veröffentlichung
Was ist eine zulässige Veröffentlichung? II
Veröffentlichungen im Sicherheitsumfeld:
- Sicherheitsbehörde warnt Schulen davor, dass ein entlassener
Sexualtäters in der "Umgebung" (ganze Stadt) eine Wohnung nimmt
- Veröffentlichung von Fotos abgängiger / zur Fahnung ausgeschriebener
Personen auf Infowerbetafeln in Bahnhöfen
- SMS-Warnung an Gewerbetreibende (Händler) einer Einkaufsstraße über
"verdächtige" Personen
- "eigenmächtiger" Aushang des Fotos einer des Diebstahls verdächtigen
Person im Verkaufsraum durch Ladenbesitzer
- weitere Veröffentlichung eines Fahndungsfotos im Internet obwohl Person
schon gefasst ist
- Falschparker, Alkolenker, Personen mit Lokalverbot werden in der
Gemeindezeitung genannt
- Daten zu (Verwaltungs-)Strafverfahren eines Asylwerbers werden an
Journalisten weiter gegeben
ARGE DATEN
© ARGE DATEN 2014
Ermittlungsbeispiel Verkehrsunfallkommando
Unfall mit Fahrerflucht
Ausgangslage: Fußgängerin wird am Praterstern angefahren,
Fahrer flüchtet, zurück bleibt Blutlache und ein Plastiksplitter
- Plastiksplitter enthält eine Seriennummer (kein Personenbezug)
- wird als Teil eines rechten Rückspiegels eines Chrysler Voyager
identifiziert (kein Personenbezug)
- laut Produzenten werden täglich fünf gleichartige Stück des
Fahrzeugs produziert (kein Personenbezug)
- die Zahl der zugelassenen Fahrzeuge in Ö ist überschaubar
(kein Personenbezug)
ARGE DATEN
© ARGE DATEN 2014
Ermittlungsbeispiel Verkehrsunfallkommando
Nächster Ermittlungsschritt?
Variante 1:
a) der Produzent wird aufgefordert alle Fahrzeugtypen bekannt zu
geben, für die dieser Rückspiegel in Frage kommt
(kein Personenbezug)
b) mit Hilfe der Typenbezeichnungen erfolgt eine Abfrage in der
KFZ-Zulassung (Personenbezug!)
c) die Zulassungsbesitzer werden zum Aufenthalt zum fraglichen
Unfallzeitpunkt befragt + die PKWs werden auf entsprechende
Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!)
Variante 2:
a) es werden die Inhaber der Mobiltelefonnummern der Funkzelle
zum fraglichen Unfallzeitpunkt ermittelt (Personenbezug!)
b) die solcherart identifizierten Personen werden zum Aufenthalt
zum fraglichen Unfallzeitpunkt befragt und ob (welchen) PKW
sie nutzten (Personenbezug + Grundrechtseingriff!)
ARGE DATEN
© ARGE DATEN 2014
Ermittlungsbeispiel Verkehrsunfallkommando
Nächster Ermittlungsschritt? II
Variante 3:
a) +b) ident zu Variante 1
c) zu den Zulassungsbesitzern werden Mobiltelefonanschlüsse
beschafft und geprüft, wer davon in der Nähe des Unfallortes
ein Gespräch führte (Personenbezug!)
d) die solcherart identifizierten Personen werden zum Aufenthalt
zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf
entsprechende Beschädigungen inspiziert (Personenbezug +
Grundrechtseingriff!)
Variante 4:
a) mit dem Generalimporteur wird vereinbart, dass unverzüglich
informiert wird, wenn ein "passender" rechter Rückspiegel
bestellt wird (Personenbezug!)
b) drei Tage später erfolgt Bestellung, Besteller wird befragt, es
handelt sich um den Fahrflüchtigen (Personenbezug +
Grundrechtseingriff!)
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.894/0003-DSK/2013 ("ZMR-Abfrage")
Ausgangslage
- Betroffener hat Konvolut zu Handen eines Vereinspräsidenten bei
Portier abgegeben, sollte nur persönlich an Präsidenten übergeben
werden
- Paket enthält Absendeadresse des Betroffenen
- Verein schaltet Polizei wegen "verdächtigem" Paket ein
- Polizei klassifiziert Paket als harmlos, es enthält weder Sprengstoff,
noch Drohungen oder bedenkliche Gegenstände
- zum Betroffenen erfolgt trotzdem eine EKIS-Abfrage
(Gefahrenerforschung iS § 28a Abs. 1 SPG)
- Polizei macht zusätzlich ZMR-Abfrage bezüglich Hauptwohnsitz des
Betroffenen ("zur Verifizierung der Zustelladresse")
- Paket wird "zerfleddert" in Polizeikommisariat ausgefolgt
- Betroffener fühlt sich wegen ZMR- und EKIS-Abfrage in seinen
Grundrechten verletzt
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.894/0003-DSK/2013 ("ZMR-Abfrage") II
DSK-Entscheidung
- Beschwerde ist teilweise berechtigt
- ZMR-Abfrage ist rechtswidrig, da für die Zustellung nicht erforderlich
- EKIS-Abfrage ist zulässig, da zum Gesetzesauftrag der Gefahrenabwehr
auch implizit Gefahrenerforschung umfasst ist und
Art des Paketes legitimierte Abfrage
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.956/0009-DSK/2013 ("Lichtbild")
Ausgangslage
- Betroffener wird im Zuge einer Befragung aufgefordert sich einer
erkennungsdienstlichen Behandlung zu unterziehen
- Betroffener lehnt das ab
- Polizeiinspektion fordert BH (als Sicherheitsbehörde) auf, die
erkennungsdienstliche Behandlung gemäß § 77 Abs. 2 SPG
bescheidmäßig auszusprechen
- Bescheid wird nicht abgewartet, stattdessen wird formlos ein Lichtbild
angefertigt, um es Tatzeugen vorlegen zu können
DSK-Entscheidung
- Beschwerde ist berechtigt
- Anfertigen des Fotos ist als Bruch des Rechts auf Geheimhaltung ohne
ausreichende rechtliche Grundlage zu qualifizieren
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.947/0015-DSK/2013
("Disziplinarverfahren")
Ausgangslage
- Im Zuge eines Disziplinarverfahrens (unzulässige Nebenbeschäftigung)
erfolgt eine Direkt-Abfrage der Sozialversicherungsdaten der Betroffenen
(Polizistin) durch Dienstvorgesetzten
- Die Abfrage erfolgt zu Beginn des Verfahrens bei einem Anfangsverdacht
eines dienstrechtlichen (nicht strafrechtlichen) Vergehens
- Begründet wird die Abfrage (nachträglich) mit dem strafrechtlich
relevanten Verdacht der Urkundenfälschung
DSK-Entscheidung
- Beschwerde ist berechtigt
- Abfrage bei Sozialversicherungsanstalt nur bei Vorliegen eines
strafrechtlichen Verdachts zulässig
- zum Zeitpunkt der Abfrage lag kein kriminalpolizeiliches
Ermittlungsverfahren vor, daher war die Abfrage unzulässig
- da die Abfrage automationsunterstützt erfolgte, konnte sie auch von der
Sozialversicherung nicht verhindert werden
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.909/0010-DSK/2013
("Ermittlungsverfahren")
Ausgangslage
- bei Betroffenen erfolgt Hausdurchsuchung nach dem SMG
- Mutter (Frau E.) ist mit Zustimmung des Betroffenen bei Durchsuchung
anwesend
- Frau E. erfährt im Zuge der Durchsuchung vom Verdacht des Verkaufs
und vom Vorhandensein von Cannabispflanzen
- weiters bestätigt sich der Verdacht bezüglich LSD nach Sicherstellung
und Untersuchung von Löschblättern
- Frau E. wird in weiterer Folge das Durchsuchungs- und
Sicherstellungsprotokoll ausgehändigt (offen, nicht in einem
verschlossenen Kuvert
- Betroffener beschwert sich wegen Bruch der Geheimhaltung durch
Weitergabe von kriminalpolizeilichen Feststellungen an Dritte
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.909/0010-DSK/2013
("Ermittlungsverfahren") II
DSK-Entscheidung
- Beschwerde ist berechtigt
- Schutz der Geheimhaltung besteht auch bei nichtautomationsgestützter (manueller) Verwendung von Daten
- Schutz der Geheimhaltung betrifft auch behördeninterne
Übermittlungen (Weitergaben) in ein anderes Aufgabengebiet
- Durchsuchungs- und Sicherstellungsprotokoll wurde dem Betroffenen
nicht gesichert (verschlossen) übermittelt
- eine offene Ausfolgung wäre nur direkt an den Betroffenen zulässig
ARGE DATEN
© ARGE DATEN 2014
Entscheidung der DSK/DSB
DSK K121.806/0008-DSK/2012
("Erkennungsdienstliche Behandlung")
Ausgangslage
- Betroffene wird im Zusammenhang mit SMG erkennungsdienstlich
behandelt
- Ermittlungsbericht belastet Betroffene jedoch "nur" gemäß § 27 Abs. 2
SMG ("Begehung ausschließlich zum persönlichen Gebrauch")
- Betroffene zwar einer strafbaren Tat, aber keines gefährlichenAngriffs
nach § 16 Abs. 2 Z 4 SPG verdächtig
- Betroffene beschwert sich wegen erkennungsdienstlicher Behandlung
DSK-Entscheidung
- Beschwerde berechtigt
- Erkennungsdienstliche Behandlung zwar aus präventiven Gründen
grundsätzlich zulässig, aber nur wenn "weitere" gefährliche Angriffe zu
erwarten sind
- im konkreten Fall trifft das aber bei Besitz von Cannabis zum
Eigengebrauch nicht zu, daher kein Präventionsbedarf
- erkennungsdienstliche Behandlung war unzulässig
ARGE DATEN
© ARGE DATEN 2014
Weitere DSG-Bestimmungen
Sicherheit
Schadenersatz
Strafbestimmungen DSG 2000
ARGE DATEN
© ARGE DATEN 2014
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Sicherheit
Sicherheitsbestimmungen (§ 14)
Sicherheitsmaßnahmen haben einen Ausgleich zwischen
folgenden Punkten zu finden:
Stand der Technik entsprechend
wirtschaftlich vertretbar
angemessenes Schutzniveau muss erreicht werden
rechtlich-organisatorische Sicherheitsmaßnahmen
- ausdrückliche Aufgabenverteilung
- ausschließlich auftragsgemäße Datenverwendung
- Belehrungspflicht der Mitarbeiter
- Regelung der Zugriffs- und Zutrittsberechtigungen
- Vorkehrungen gegen unberechtigte Inbetriebnahme von
Geräten
- Protokollierungspflicht
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Verschwiegenheit
Verpflichtung zum Datengeheimnis (§ 15)
Mitarbeiter sind - soweit nicht andere berufliche
Verschwiegenheitspflichten gelten vertraglich zu binden.
Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen
Anordnung übermitteln.
Mitarbeiter sind über die Folgen der Verletzung des
Datengeheimnisses zu belehren.
Mitarbeitern darf aus der Verweigerung der Befolgung einer
Anordnung einer rechtswidrigen Datenübermittlung kein
Nachteil erwachsen.
Bereitstellungspflicht der Datensicherheitsmaßnahmen für Mitarbeiter (§ 14 Abs. 6)
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Kontroll- & Strafbestimmungen
Schadenersatz (§ 33)
schuldhaftes Verhalten notwendig
bei Verletzung von Bestimmungen des DSG 2000 ist
tatsächlich erlittener materieller Schaden zu ersetzen
bei Verletzungen der Geheimhaltung, die geeignet sind
den Betroffenen bloßzustellen, gebührt Entschädigung
Entschädigungsanspruch ist nicht beziffert, aber vergleichbar
dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]
bei Veröffentlichungen in einem Medium gilt Mediengesetz
Entschädigungsanspruch ist gegenüber dem
Auftraggeber geltend zu machen
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Strafbestimmungen
Gewinn- oder Schädigungsabsicht (§ 51)
- Klarstellung der Deliktvoraussetzungen: Vorsatz der
eigenen Bereicherung oder eines Dritten oder Absicht
einer sonstigen Schädigung der Geheimhaltungsrechte
anderer
Delikt begeht, wer ...
- widerrechtlich ihm zugängliche Daten benutzt oder
- Daten widerrechtlich beschafft oder
- anderen widerrechtlich zugänglich macht oder
- widerrechtlich öffentlich macht
Strafausmaß: bis ein Jahr
Delikt wird zum Offizialdelikt [bis 31.12.09: Privatanklagedelikt]
Strafbestimmung gilt subsidiär
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Strafbestimmungen
Strafbestimmungen bei öffentlich-rechtlichen
Organen
Missbrauch der Amtsgewalt (§ 302 StGB)
Strafrahmen: bis 5 Jahre
Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p
(rechtswidriger Abruf von KFZ-Zulassungsdaten)
Verletzung des Amtsgeheimnisses (§ 310 StGB)
Strafrahmen: bis 3 Jahre
denkbar auch:
Falsche Beurkundung und Beglaubigung
im Amt (§ 311 StGB)
Strafrahmen: bis 3 Jahre
Hier ist Vorsatz Voraussetzung für die Tatverfolgung
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)
[=deliktisches Handeln]
- widerrechtliches Verschaffen eines Zugangs zu einer DA
- widerrechtliches Weiterbenutzen eines Zugangs zu einer DA
- Übermittlung unter Verletzung des Datengeheimnisses
- Weiterverwendung von Daten entgegen eines rechtskräftigen
Urteils/Bescheids
- widerrechtliches Löschen von Daten (§ 26 Abs. 7)
Strafrahmen: bis 25.000,- Euro
zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw.
Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen
Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit
Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)
Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs
Monate) ist zu beachten!
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa
(§ 52 Abs. 2)
[=Unterlassungen, Gefährdungen, sonstige Delikte]
1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c
oder Betreiben eine Datenanwendung auf eine von der
Meldung abweichende Weise oder
2. Übermitteln oder überlassen von Daten ins Ausland, ohne
Genehmigung gemäß § 13 Abs. 1 oder
3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß
§ 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder
§ 21 Abs. 2) oder
4. Verletzen von Offenlegungs- oder Informationspflichten
gemäß §§ 23, 24, 25 oder 50d oder
5. § 14 gröbliches außer Acht lassen von
Sicherheitsmaßnahmen oder
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb
(§ 52 Abs. 2)
[=Unterlassungen, Gefährdungen, sonstige Delikte]
6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche
Sicherheitsmaßnahmen außer Acht lässt oder
7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist
nicht löscht.
Strafrahmen: bis 10.000,- Euro
ARGE DATEN
© ARGE DATEN 2014
DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände III
(§ 52 Abs. 2a)
[=Gefährdung von Betroffenenrechten]
neue Strafbestimmung bei verspäteter Erfüllung der
Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,Euro (Abs. 2a)
Strafrahmen: bis 500,- Euro [neu seit 2010]
Verfallbestimmungen § 52 Abs. 4
Datenträger und Programme sowie Bildübertragungs- und
Bildaufzeichnungsgeräten können bei Verletzungen nach § 52
Abs. 1 und 2 als verfallen erklärt werden
ARGE DATEN
© ARGE DATEN 2014
Schlussbemerkung
ARGE DATEN
© ARGE DATEN 2014
"Videoüberwachung war ein Fiasko"
Mike Neville, Chef der CCTV-Einheit bei Scotland Yard, 2008
Trotzdem:
"Wir brauchen mehr Kameras, mehr
Personal, bessere Software, ..."
derselbe, 2008
"Wir können beliebig viele Postkutschen aneinander
reihen, niemals wird daraus eine Eisenbahn"
Joseph Schumpeter, Nationalökonom, 1911
Dr. Hans G. Zeger
ARGE
© Hans
ARGE G.
DATEN
Zeger2014
2009
DATEN
Quelle: Heute
ARGE DATEN
© ARGE DATEN 2014
"Die Polizei hat einerseits für die Sicherung des
Bestehenden zu sorgen, ist andererseits aber auch
den Menschenrechten und dem Schutz
abweichender Auffassungen verpflichtet.
Jahrhundertelang konnte sie sich auf ihren
traditionellen Auftrag zur Sicherheitsvorsorge
berufen, was vieles rechtfertigte. Aber autoritäre
Auffassungen werden in immer höherem Ausmaß
fragwürdig."
Prof. Bernd-Christian Funk, Verfassungsjurist
Standard Interview 9./10. August 2014
© ARGE DATEN 2014ARGE
DATEN
Ich danke für Ihre Aufmerksamkeit
ARGE DATEN
© ARGE DATEN 2014
Onlineinformation
http://www.argedaten.at/
http://www.dsb.gv.at/
http://ec.europa.eu/justice/policies/privacy/index_en.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
http://www.datenschutzverein.de/
ARGE DATEN
© ARGE DATEN 2014
Zugehörige Unterlagen
werberichtlinien - Media
werberichtlinien - Media
Consulting Firma
Consulting Firma
Präsentation Kooperation ARGE-ÖSTV
Präsentation Kooperation ARGE-ÖSTV
ARGE VERTRAG
ARGE VERTRAG
10_05_03_MVB
10_05_03_MVB
Allgemeine Geschäftsbedingungen der ARGE Walter & Hoffmann
Allgemeine Geschäftsbedingungen der ARGE Walter & Hoffmann
Arbeitsprogramm AK Wirtschaft & Tourismus
Arbeitsprogramm AK Wirtschaft & Tourismus
zum der Statuten
zum der Statuten
Psychiatrische Gesundheits - Schulen für Gesundheits
Psychiatrische Gesundheits - Schulen für Gesundheits
Arbeitsgemeinschaft im JobCenter Dortmund
Arbeitsgemeinschaft im JobCenter Dortmund
C urriculum S upervisio n U pgrade
C urriculum S upervisio n U pgrade
Resolution zur Erweiterung der EU
Resolution zur Erweiterung der EU
Herunterladen
Werbung