Verläßlichkeit von offenen Computersystemen 6. Vorlesung

1. Verläßlichkeit von offenen Computersystemen6. Vorlesung 2-stündige Vorlesung im WS 2005/2006 Nr 187.150 anrechenbar fürDatenschutz und Datensicherheit Vortragender: Peter Fleissner, o.Univ.-Prof. DI. Dr.-techn.E-Mail: peter.fleissner@igw.tuwien.ac.at

2. die nächsten Termine • Montag, 21.11.05, 18:00 -19:30 EI 8 !!! • Montag, 28.11.05, 18:00 -19:30 EI 8 (für die weiteren siehe TUWIS bzw. weblog)

3. Organisatorisches zur LVA Auf unserem Server gibt es ein weblog mit allen organisatorischen Ankündigungen unter • http://igw.tuwien.ac.at/zope/igw/lvas/offcomSkripten und Präsentationen zur Vorlesung können von dort heruntergeladen werden.Auf dieser website können zu ausgewählten Themen Diskussionen geführt und Anfragen an den Vortragenden gestellt werden

4. Und los geht’s....

5. Datenschutzgesetzgebung • EU Gesetzgebung zum Datenschutz • Das Österreichische Datenschutzgesetz 2000

6. EU Gesetzgebung zum Datenschutz • Während in den 70er und 80er Jahren in der EG Datenschutz als Hemmnis wirtschaftlicher Entwicklung und Integration betrachtet wurde, löst die Erweiterungen des europäischen Binnenmarkts einen Paradigmenwechsel aus. Datenschutz wird nun nicht mehr als Hemmnis, sondern als Vorbedingung für das Funktionieren des Binnenmarktes angesehen. • Die Entwicklung des Binnenmarktes und der Informationsgesellschaft erhöht den Transfer persönlicher Daten zwischen den EU-Mitgliedstaaten. Um potentielle Hindernisse für solche Transfers zu beseitigen, wurde die Datenschutzgesetzgebung dahingehend harmonisiert, dass dem Privatleben innerhalb der Union ein hohes Schutzniveau zugute kommt. -> EU-DS-Richtlinie 1995 • Die Europäische Kommission führt einen Dialog mit Ländern außerhalb der EU mit Blick darauf, bei der Ausfuhr persönlicher Daten in diese Länder ein hohes Schutzniveau zu gewährleisten. • Die Europäische Kommission führt auf europäischer und internationaler Ebene Untersuchungen zum derzeitigen Stand des Datenschutzes durch.

7. Rechtssetzungsinstrumente der EU Im wesentlichen stehen der EU drei verbindliche Rechtssetzungsinstrumente zur Verfügung • die Verordnung (regulation) Die Verordnung hat eine allgemeine Tragweite, sie ist in jedem ihrer Elemente verbindlich und ist in allen Mitgliedstaaten direkt anwendbar: Eine Übertragung in nationales Recht ist nicht notwendig, die nationalen Behörden können/müssen die Bestimmungen der Verordnung sogleich anwenden. • die Entscheidung (decision) Die Entscheidung ist in all ihren Teilen für diejenigen verbindlich, die sie bezeichnet (Einrichtungen der EG, Mitgliedsstaaten, Unternehmen,...) • die Richtlinie (directive) Die Richtlinie ist hinsichtlich des zu erreichenden Ziels für die Mitgliedstaaten verbindlich; die Wahl der Form und der Mittel, die zum Erreichen des Ziels hinführen, bleibt jedoch den innerstaatlichen Stellen überlassen. Drei weitere Instrumenttypen schließlich haben keinen verbindlichen Charakter: • Die Empfehlung (recommendation) und • das Gutachten (appraisal) sind durch den EG-Vertrag vorgesehen. • Die Entschließung (resolution) wurde durch die Praxis eingeführt.

8. EU Gesetzgebung zum Datenschutz • Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr • Verordnung (EG) 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr • Richtlinie 2002/58/EC des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)

9. Persönliche Daten: http://www.univie.ac.at/RI/voelkerrechtundinternet/sld145.htm

10. http://www.univie.ac.at/RI/voelkerrechtundinternet/sld146.htmhttp://www.univie.ac.at/RI/voelkerrechtundinternet/sld146.htm

11. http://www.univie.ac.at/RI/voelkerrechtundinternet/sld147.htmhttp://www.univie.ac.at/RI/voelkerrechtundinternet/sld147.htm

12. http://www.univie.ac.at/RI/voelkerrechtundinternet/sld148.htmhttp://www.univie.ac.at/RI/voelkerrechtundinternet/sld148.htm

13. Rechtliche Massnahmen auf österreichischer Ebene • Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000), BGBl. I Nr. 165/1999, idF. BGBl. I Nr. 136/2001 of 17.08.1999 (gilt für alle automatisierten Datenverarbeitungen) trat am 01.01.2000 in Kraft • Verordnung des Bundeskanzlers über den angemessenen Datenschutz in Drittstaaten (Datenschutzangemessenheits-Verordnung - DSAV), BGBl. II Nr. 521/1999, über Länder mit entsprechender Datenschutzgesetzgebung (Schweiz und Ungarn) • Verordnung des Bundeskanzlers über das bei der Datenschutzkommission eingerichtete Datenverarbeitungsregister (Datenverarbeitungsregister-Verordnung 2000 - DVRV), BGBl. II Nr. 520/1999, über die Registrierungsprozedur • Verordnung des Bundeskanzlers über Standard- und Musteranwendungen nach dem Datenschutzgesetz 2000 (Standard- und Muster-Verordnung 2000 - StMV), BGBl. II Nr. 201/2000, über Ausnahmeregelungen

14. Rechtliche Massnahmen auf österreichischer Ebene Sieben Bundesländer haben Datenschutzregelungen verabschiedet, die sich mit nicht automationsunterstützter Datenverarbeitung beschäftigen: • Kärnten Kärtner Landesdatenschutz-Gesetz (K-LDSG), LGBl. Nr. 59/2000 (Inkrafttreten: 01.01.2000) • Niederösterreich NÖ-Datenschutzgesetz (NÖ DSG), LGBl. 0901-1 (Inkrafttreten: 01.01.2001) • Oberösterreich Gesetz vom 1. Juli 1988 über die Auskunftspflicht der Organe des Landes, der Gemeinden, der Gemeindeverbände und der durch Landesgesetz geregelten Selbstverwaltungskörper (oÖ. Auskunftspflicht- und Datenschutzgesetz), LGBl. Nr. 46/1988; idF. LGBl. Nr. 41/2000 • Salzburg Gesetz über die Auskunftspflicht und den Datenschutz, LGBl. Nr. 73/1988, idF LGBl. Nr. 65/2001 (Inkrafttreten 01.07.2001) • Steiermark Gesetz vom 20. März 2001 über den Schutz personenbezogener Daten in nicht automationsgestützt geführten Dateien (Steiermärkisches Datenschutzgesetz-StDSG), LGBl. Nr. 39/2001 (Inkrafttreten: 01.08.2001) • Vorarlberg Vorarlberger Landes-Datenschutzgesetz, LGBl. Nr. 19/2000 (Inkrafttreten: 01.01.2000) • Wien Wiener Datenschutzgesetz (Wr. DSG), LGBl. Nr. 125/2001

15. Das Österreichische Datenschutzgesetz (ÖDSG 2000)

16. Das Österreichische Datenschutzgesetz Seit dem 1. Jänner 2000 gibt es in Österreich ein neues Datenschutzgesetz. Das alte, das 1978 in seiner ersten Fassung eingeführt wurde, genügte in einigen Punkten nicht der EU-Richtlinie zum Datenschutz vom 24. Oktober 1995, die einen verbindlichen Rahmen zur Vereinheitlichung der Datenschutzgesetze aller Mitgliedsländer vorgibt und von diesen verlangt, (innerhalb einer Frist von drei Jahren) ihre Gesetze anzupassen. Statt das ÖDSG den Forderungen der Richtlinie an den entsprechenden Stellen anzupassen, wurde das ganze Datenschutzgesetz neu formuliert. Die neue Fassung lehnt sich eng an die EU-Richtlinie an. Im Skriptum werden die wichtigen Paragraphen des ÖDSG in verkürzter Fassung behandelt und zum Teil (kursiv) kommentiert. Anschließend folgt als Anhang der gesamte Gesetzestext. Die in der HTML-Version hinzugelinkten Kommentare der Regierungsvorlage von 1999 wurden aus Gründen des Umfangs hier nicht aufgenommen.

17. Das Österreichische Datenschutzgesetz 2000

19. Das Österreichische Datenschutzgesetz 2000

21. Das Österreichische Datenschutzgesetz 2000

23. Das Österreichische Datenschutzgesetz 2000

25. Das Österreichische Datenschutzgesetz 2000

27. Das Österreichische Datenschutzgesetz 2000

29. Das Österreichische Datenschutzgesetz 2000

31. Das Österreichische Datenschutzgesetz 2000

33. Das Österreichische Datenschutzgesetz 2000

35. Das Österreichische Datenschutzgesetz 2000

37. Das Österreichische Datenschutzgesetz 2000

38. Weiterführendes Material zu Datenschutz und anderen Informationsrechten • Österreichische Datenschutzkommission (http://www.dsk.gv.at/) • ARGE DATEN (http://www.ad.or.at/) • Bundeskanzleramt Rechtsinformationssystem (http://www.ris.bka.gv.at/) • Zeitschrift DuD (http://www.DUD.de/) • Netlaw Library (http://www.jura.uni-muenster.de/netlaw/default.cfm) • Deutsche On-line Gesetze (http://www.netlaw.de/gesetze/) • EU Datenschutzgesetzgebung und Fallrecht (http://europa.eu.int/comm/internal_market/privacy/law_de.htm) • EU Studien zum Datenschutz (http://europa.eu.int/comm/internal_market/privacy/studies_de.htm) • Fleissner, P., und M. Choc (Hgs) Datensicherheit und Datenschutz, Wien - Innsbruck: StudienVerlag 1996

39. Und weiter geht’s....

40. ....mit Details zum ÖDSG

41. Das Österreichische Datenschutzgesetz 2000

42. Artikel 1, § 1.(1) (Verfassungsbestimmung) Grundrecht auf Datenschutz § 1 (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

43. Artikel 1 (Kommentar) • Das Grundrecht auf Datenschutz bewirkt einen Anspruch auf Geheimhaltung personenbezogener Daten. Darunter ist der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. • Anspruch kann angesichts der Vielfältigkeit der denkbaren Konstellationen, in welchen Daten verwendet werden, nicht ohne Einschränkungen anerkannt werden: Nach Abs. 1 gibt es ein Recht auf Datenschutz nur dann, wenn "ein schutzwürdiges Geheimhaltungsinteresse (an bestimmten personenbezogenen Daten) besteht".

44. Artikel 1 (Kommentar) Voraussetzungen dafür: • es gibt überhaupt personenbezogene Daten, die auf eine in ihrer Identität bestimmte (oder zumindest bestimmbare) Person zurückgeführt werden können, und • diese Daten können geheim gehalten werden, was dann grundsätzlich unmöglich sein wird, wenn sie allgemein zugänglich sind. • genauen Prüfung im Einzelfall notwendig, wobei vor allem auch zu beachten sein wird, ob die allgemeine Zugänglichkeit im Zeitpunkt der beabsichtigten Verwendung tatsächlich noch besteht. An anderen Daten besteht ein schutzwürdiges Geheimhaltungsinteresse, das jedoch - wie jedes Grundrecht - nicht absolut gilt, sondern durch bestimmte, zulässige Eingriffe beschränkt werden darf:

45. Artikel 1, § 1.(2) (Verfassungsbestimmung) • Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

46. Konvention zum Schutze der Menschenrechte und Grundfreiheiten abgeschlossen in Rom am 4. November 1950 Art. 8 Recht auf Achtung des Privat- und Familienlebens (1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. (2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.

47. Art. 12 Recht auf Eheschließung Art. 13 Recht auf wirksame Beschwerde Art. 14 Diskriminierungsverbot Art. 15 Abweichen im Notstandsfall Art. 16 Beschränkungen der politischen Tätigkeit ausländischer Personen Art. 17 Verbot des Missbrauchs der Rechte Art. 18 Begrenzung der Rechtseinschränkungen Art. 19 Errichtung des Gerichtshofs … … … Art. 56 Räumlicher Geltungsbereich Art. 57 Vorbehalte Art. 58 Kündigung Art. 59 Unterzeichnung und Ratifikation Art. 1 Verpflichtung zur Achtung der Menschenrechte Art. 2 Recht auf Leben Art. 3 Verbot der Folter Art. 4 Verbot der Sklaverei und der Zwangsarbeit Art. 5 Recht auf Freiheit und Sicherheit Art. 6 Recht auf ein faires Verfahren Art. 7 Keine Strafe ohne Gesetz Art. 8 Recht auf Achtung des Privat- und Familienlebens Art. 9 Gedanken-, Gewissens- und Religionsfreiheit Art. 10 Freiheit der Meinungsäußerung Art. 11 Versammlungs- und Vereinigungsfreiheit Konvention zum Schutze der Menschenrechte und Grundfreiheiten abgeschlossen in Rom am 4. November 1950

48. Danke für Ihre Aufmerksamkeit!meine e-mail:peter.fleissner@igw.tuwien.ac.atund nochmals die website:http://igw.tuwien.ac.at/zope/igw/lvas/offcom