© ARGE DATEN 2012 ARGE DATEN Datenschutz und Whistleblowing Formen, Regeln und Fallen Hans G....
-
Upload
chlotichilda-blosser -
Category
Documents
-
view
119 -
download
0
Transcript of © ARGE DATEN 2012 ARGE DATEN Datenschutz und Whistleblowing Formen, Regeln und Fallen Hans G....
ARGE DATEN © ARGE DATEN 2012
Datenschutz und WhistleblowingFormen, Regeln und Fallen
Hans G. Zeger, ARGE DATENWien, xxxx, 31. März 2012
ARGE DATEN © ARGE DATEN 2012
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATEN
Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat
- Newsletter: rund 4.500 Abonnenten
- 2011: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2011: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2011: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
A-CERT - Zertifizierungsdienstleister gem. SigG
ARGE DATEN © ARGE DATEN 2012
Datenschutz ist nicht der Schutz von Daten vor Menschen, sondern die Sicherung des Grundrechts auf Privatsphäre
ARGE DATEN © ARGE DATEN 2012
Definition / Grundlagen
Formen
Szenarien
Datenschutzrechte
Whistleblowing
Zusammenfassung
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Grundlagen
Whistleblowing - "verpfeifen" - Hinweisgeber
"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)
Whistleblowing - "verpfeifen" - Hinweisgeber
"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)
bekannt gibt."
"bekannt geben" als Verallgemeinerung
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Grundlagen
Whistleblowing - (Rechts-)Grundlagen- intenationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“, SOX)
- generelle Sorfaltspflichten eines Unternehmens
- spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion
- moralisches Gerechtigkeitsgefühl der Hinweisgeber
- ???
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Erscheinungsformen
Whistleblowing - Formen I
"bekannt geben" kann bedeuten:- innerbetrieblich melden- im Auftrag des Betriebs an eine neutrale Ombudsstelle melden
- an den Gesellschafter (z.B. Konzernzentrale, ...) melden
- an Strafverfolgungsbehörden melden ("Anzeige")
- an die Öffentlichkeit bringen
Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Erscheinungsformen
Whistleblowing - Formen II
"Meldung / Melder":- Meldung erfolgt anonym: meist nur Einmalhinweis möglich
- Meldung erfolgt pseudonymisiert: erlaubt Rückfragen, Rückmeldungen
- Meldung erfolgt personenbezogen
Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Erscheinungsformen
Whistleblowing - Formen III
Methode wie Hinweise gegeben werden können:
- Angabe einer Postadresse- Angabe einer Telefonnummer / Hotline- Online-Service (Webformular)
Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Erscheinungsformen
Whistleblowing - datenschutzrelevanz
- Hinweise behandeln im Regelfall nicht allgemein bekannte Tatsachen
- es besteht ein Personenbezuga) es werden konkrete Personen bezichtigt und/oderb) Hinweisgeber kann identifiziert werden und/oderc) Daten beziehen sich auf Unternehmen
- es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen
- Hinweise können strafrechtlich relevante Sachverhalte betreffen
- für Betroffene können sich subjektive Rechte ergeben
Anspruch auf Geheimhaltung
Registrierungs-, Genehmigungspflichten
Auskunftsrechte, Richtigstellungs- undLöschungsrechte
Vorabkontrollpflicht
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenarien
Whistleblowing - Szenario I
Es existiert nur ein innerbetriebliches Postfach, eine innerbetriebliche Hotline ohne EDV-Unterstützung, der Hinweisgeber muss seine Identität nicht bekannt geben, die Hinweise werden sachbezogen abgelegt. Geheimhaltungspflicht Personenbezug bezüglich bezichtigter Person, möglicherweise auch des Hinweisgeber, wenn er identifiziert werden kann
keine Datenanwendung, da ausschließlich manuelle Verarbeitung und keine personenbezogene Sortierung
keine spezifischen Melde- und Genehmigungs-pflichten
keine Auskunfts- und Richtigstellungspflichten
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenario II
Innerbetriebliches Online-Meldeportal, Hinweisgeber muss seine Identität nicht bekannt geben, Hinweise können nach allen Begriffen durchsucht werden. Geheimhaltungspflicht, Personenbezug wie I
Datenanwendung liegt vor Meldepflicht der Datenanwendung, Auftraggeber ist der Betrieb
Vorabkontrollpflichtig!, da auch strafrechtlich relevante Sachverhalte betroffen sein können. Genehmigung der DSK muss vor Betriebsbeginn vorliegen!
Auskunfts- und Richtigstellungspflichten gegenüber bezichtigter Personen, jedoch mit Ausnahmen
Whistleblowing - Szenarien
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Datenschutzverpflichtungen
Whistleblowing - Auskunftsrecht § 26 DSG 2000
Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen.
§ 26 Auskunftsrecht kann beschränkt werden, wenn
a)überwiegende Interessen Dritter werden gefährdet (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person)
b)Interessen des Auftraggebers werden gefährdet (z.B. Aufklärungsinteressen bezüglich der Hinweise)
Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht!
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Datenschutzverpflichtungen
Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000
Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen.
§ 27 kann beschränkt werden, wenn
a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen
b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenario III
Online-Meldeportal durch Ombudsstelle betrieben, Hinweisgeber muss seine Identität nicht bekannt geben, Hinweise können nach allen Begriffen durchsucht werden. Geheimhaltungspflicht, Personenbezug,
Datenanwendung wie II Meldepflicht der Datenanwendung
a) Auftraggeber ist Ombudsstelle, wenn sie selbst über weitere Verwendung der Daten entscheidetb) Auftraggeber ist Betrieb, wenn Ombudsstelle nur auf Weisung des Betriebs handelt, Ombudsstelle ist datenschutzrechtlicher Dienstleister
Vorabkontrollpflicht, Auskunfts- und Richtigstellungspflichten wie II
Whistleblowing - Szenarien
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenario IV
Online-Meldeportal durch Konzernzentrale betrieben, Hinweisgeber muss seine Identität nicht bekannt geben, Hinweise können nach allen Begriffen durchsucht werden. Geheimhaltungspflicht, Personenbezug,
Datenanwendung wie II Meldepflicht der Datenanwendung folgt
grundsätzlich nach denselben Regeln wie III (Ombudsstelle)
Vorabkontrollpflicht, Auskunfts- und Richtigstellungspflichten wie II
Liegt die Konzernzentrale in einem Drittstaat ohne gleichwertigem Datenschutzrecht (z.B. in USA), ist in jedem Fall eine Genehmigung der DSK für Daten-Export erforderlich
Whistleblowing - Szenarien
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenario V
Anzeige bei Strafverfolgungsbehörde, Hinweisgeber muss seine Identität nicht bekannt geben. Geheimhaltungspflicht durch
Strafverfolgungsbehörde soweit gesetzlich bestimmt
Personenbezug ja, keine Datenanwendung wie I
keine Meldepflicht der Datenanwendung
Auskunfts- und Richtigstellungspflichten folgen den gesetzlichen Bestimmungen (Parteienstellung)
Whistleblowing - Szenarien
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenario VI
Hinweis erfolgt bei Medienunternehmen, eventuell über ein vom Medienunternehmen eingerichtetes Portal, Hinweisgeber muss seine Identität nicht bekannt geben. Entspricht III (Ombudsstelle) Veröffentlichung und Verwendung der
Informationen im Rahmen einer wahrheitsgetreuen Berichterstattung möglich, auch wenn Informationen unter Verletzung von Schutz- und Strafbestimmungen erhalten wurden
Whistleblowing - Szenarien
ARGE DATEN © ARGE DATEN 2012
Whistleblowing - Szenario VII
Hinweisgeber organisiert ein eigenes Online-Portal um Missstände aufzuzeigen, zu veröffentlichen. Online-Portale, die öffentlich
zugänglich sind (einem unbestimmten Personenkreis) sind als Medium anzusehen, Hinweisgeber übernimmt rolle eines Medienunternehmens
ansonsten entspricht es VI (Mediendienst)
Whistleblowing - Szenarien
ARGE DATEN © ARGE DATEN 2012
Whistleblowing
Whistleblowing - Resumee
- wird im Regelfall eine meldepflichtige Datenanwendung sein (auch wenn nicht direkt Personen anzugeben sind, werden sie im Regelfall identifiziert werden können)
- wird der Vorabkontrolle unterliegen (strafrechtlich relevante Vorwürfe)
- liegt die Verarbeitung in einem Drittland ohne gleichwertigen Datenschutzbestimmungen vor, dann muss zusätzlich eine Genehmigung für Datenexpert eingeholt werden
- eine Betriebsvereinbarung wird erforderlich sein, wenn Whistleblowing-System von Unternehmen initiiert ist oder das Unternehmen aktiv beteiligt ist
ARGE DATEN © ARGE DATEN 2012
Whistleblowing
Whistleblowing - Resumee II
- Datenverwendung ist auf Aufklärung der gemeldeten Missstände zu beschränken
- Daten sind zu löschen, wenn sie für die Aufklärung der gemeldeten Missstände nicht mehr erforderlich sind, z.B.:
a) der aufgezeigte Missstand erweist sich als haltlos
b) der aufgezeigte Missstand wird bereinigtc) der aufgezeigte Missstand führt zu einer
Anzeige bzw. zu einem "offiziellen" Verfahren (straf-, zivil-, verwaltungsrechtlich)
Allenfalls müssen aus Dokumentationszwecken zum Missstand anonymisierte
Zusammenfassungen erstellt werden.
ARGE DATEN © ARGE DATEN 2012
Ich danke für Ihre Aufmerksamkeit
ARGE DATEN © ARGE DATEN 2012
Anhang
Verschwiegenheitspflichten
Cybercrime
Standard- und Musteranwendungen
DVR-Meldung
ARGE DATEN © ARGE DATEN 2012
Dr. Hans G. Zegere-commerce monitoring gmbhA-1010 Wien, Vorlaufstrße 5/6
Tel.: +43 1 53 20 944Fax.: +43 1 53 20 974Mail persönlich: [email protected]
Zertifizierung: http://www.a-cert.ate-commerce: http://www.e-rating.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
Kontakt
ARGE DATEN © ARGE DATEN 2012
Kontakt
Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20
Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]
Verein: http://www.argedaten.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
ARGE DATEN © ARGE DATEN 2012Dr. Hans G. Zeger © Hans G. Zeger 2009
"Videoüberwachung war ein Fiasko" Mike Neville, Chef der CCTV-Einheit bei Scotland Yard,
2008
Trotzdem:
"Wir brauchen mehr Kameras, mehr Personal, bessere
Software, ..."derselbe, 2008
"Wir können beliebig viele Postkutschen aneinander reihen, niemals wird daraus eine
Eisenbahn"Joseph Schumpeter, Nationalökonom, 1911
ARGE DATEN © ARGE DATEN 2012
Mehr zu unserer "Lust an totaler Kontrolle"
WIR WOLLEN SICHERHEIT, Überraschungen sind Bedrohungen. Aus dem Bedürfnis, alles planen zu können, erwächst die Notwendigkeit totaler Kontrolle: Wir werden identifizierbar, berechenbar, steuerbar; wir werden zu Objekten in totalen Institutionen.
364 Seiten, Format 125x205, Hardcover, EUR 22,-, ISBN: 9-783701-731022Residenz Verlag 2008
ARGE DATEN © ARGE DATEN 2012
Kontakt
Dr. Hans G. Zegere-commerce monitoring gmbhA-1010 Wien, Vorlaufstrße 5/6
Tel.: +43 1 53 20 944Fax.: +43 1 53 20 974Mail persönlich: [email protected]
Zertifizierung: http://www.a-cert.ate-commerce: http://www.e-rating.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at