- Am 27. April 2009 gibt es wieder "den" Klassiker unter den Datenschutzseminaren, "HR-Daten, Erlaubtes & Verbotenes" in dem Kollegin Dr. Bartlmä und ich wie gewohnt den aktuellen Stand dessen referiere, was in Hinblick auf Arbeitnehmerdatenverarbeitung, Email und Internet am Arbeitsplatz, Kontrollmaßnahmen und Personaldatensystemen zulässig ist. Siehe: http://www.businesscircle.at/veranstaltung.asp?vid=1125
Hinweis: Bei diesem Seminar erhalten Sie von BusinessCircle EUR 80,-- "Referentenrabatt", wenn Sie sich bei der Anmeldung auf mich beziehen.
- Weiters darf ich vorankündigen, dass sich die große "Frühjahrstagung" der Österreichischen Juristenkommission in Weissenbach am Attersee heuer vollständig dem Thema "Alles unter Kontrolle? - Überwachung - Privatsphäre - Datenschutz" widmet. Von 21.-23. Mai werden die Creme-de-la-Creme der österreichischen Politik, Juristerei und Technik über Themen wie Online-Durchsuchung, Suchmaschinen, Arbeitnehmerdatenverarbeitung und ELGA diskutieren. Mit dabei sind nicht nur die neue Justizministerin Mag. Bandion-Ortner und die neue Innenministerin Dr. Fekter, sondern auch der Europäische Datenschutzbeauftragte Peter Hustinx, Dr. Peissl von der Öst. Akademie der Wissenschaften, die Präsidenten des Verfassungs- und Verwaltungsgerichtshofes, Prof. Funk, Prof. Rauber, Prof. Rebhahn, SektChef Auer und Mag. Gridling, Direktor des Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung. Mehr Senf denn Creme darf auch ich mit einem Vortrag mit dem Titel "Suchmaschinen andersrum: Datenschutzrechtliche Implikationen von Suchmaschinen und Web-Analysetools" etwas Würze hinzufügen und mich dabei ua mit dem neuen "Liebling" der Datenschützer, Google Analytics befassen. Siehe die Vorschau unter http://www.juristenkommission.at/weiss.htm
Ebenfalls vorankündigen darf ich den 3. Österreichischen IT-Rechtstag am 4. und 5. Juni 2009 in Wien, der heuer mit dem Schwerpunktthemen Persönlichkeitsschutz im Internet, Softwarerecht sowie E-Commerce- und Datenschutzrecht die Schokolade nach der Creme sein wird. Eine erste Programmvorschau findet sich unter http://www2.wu-wien.ac.at/informationsrecht/IT_Rechtstag/programmvorschau.pdf.
Am 17. und 18. Juni findet schließlich zum 2. Mal das Confare-Seminar "IT-Recht - Grundlagen und Anwendungen", bei dem Sie ua die ungewöhnliche Möglichkeit haben, aus dem Mund des Leiters der Großbetriebsprüfung Wien, Herrn Mag. Groschedl vom BMF zu hören, wie er sich revisionssichere Datenarchivierung vorstellt und was für Konsequenzen es hat, wenn ein Unternehmen diesen Vorstellungen nicht entspricht. Mag. Oman von Deloitte und ich runden das Programm ab: http://www.confare.at/4633_DE-Rechtliche_Grundlagen_fuer_IT-Manager-Das_Programm.htm
Montag, 30. März 2009
Outsourcing und Datenschutz: Achtung, die Welt ist flach!
In letzter Zeit haben sich sehr ärgerlichen Fällen gehäuft, in denen Unternehmen, die ich im Datenschutz berate, Datenverarbeitungsdienstleistungen von professionellen Anbietern (darunter oft auch sehr bekannte Firmen) zukaufen und erst nach und nach feststellen, dass ihre Daten gar nicht wie angenommen in Österreich gespeichert und gewartet werden, sondern in China, Indien und jüngst sogar per Fernzugriff aus Costa Rica. Die Anbieter dieser Dienstleistungen erfüllen nicht nur ihre diesbezüglichen Warnpflichten nicht, sondern haben nach "auffliegen" der technischen und organisatorischen Gegebenheiten dann oft keine oder nur unbrauchbare Konzepte parat, wie die dadurch entstandene Problematik des internationalen Datenverkehrs gelöst werden kann. Im Raum stehen dann auf einmal Geldstrafen wegen Nichtgenehmigung und die Untersagen der Durchführung der Dientsleistung, die unseren gutgläubigen Unternehmen auf den Kopf fallen. Ich habe daher jüngst im ecolex ein kurzes Memo zu diesem Thema veröffentlicht mit der Warnung "Achtung, die Welt ist flach". Sie finden den Artikel unter diesem Link: http://www.preslmayr.at/admin2/untermenue/pdf/10/20090209080049KY_DSR_ecolex_200901_85.pdf
Glauben Sie nicht, dass ihre Daten tatsächlich nur in Österreich bleiben, denn es ist mittlerweile geradezu Standard, dass diese nach Übersee transferiert (oder kopiert) werden oder zumindest von dort ferngewartet werden. Eigentlich sollte sich ein Anbieter solcher "Standarddienstleistungen" auch darum kümmern, dass die notwendigen Standardvorgehensweisen im Datenschutzrecht entsprechend vorbereitet sind und nicht der Kunde (bzw. ich als dessen Anwalt) dem Dienstleister erst Nachhilfe im Datenschutzrecht geben muss!
Glauben Sie nicht, dass ihre Daten tatsächlich nur in Österreich bleiben, denn es ist mittlerweile geradezu Standard, dass diese nach Übersee transferiert (oder kopiert) werden oder zumindest von dort ferngewartet werden. Eigentlich sollte sich ein Anbieter solcher "Standarddienstleistungen" auch darum kümmern, dass die notwendigen Standardvorgehensweisen im Datenschutzrecht entsprechend vorbereitet sind und nicht der Kunde (bzw. ich als dessen Anwalt) dem Dienstleister erst Nachhilfe im Datenschutzrecht geben muss!
Neues zum Datenschutzrecht aus Österreich
Was hat sich in den letzten Wochen in Österreich im Datenschutzrecht getan?
Ende Jänner fand im Bundeskanzleramt ein Festakt zum "Europäischen Datenschutztag" statt. Der Leiter des Bundeskanzleramtes, Univ. Prof. Lienbacher berichtete, dass die Arbeiten an der DSG-Novelle wieder aufgenommen worden seien und versprach vor laufender Fernsehkamera, dass es bis Sommer einen überarbeiteten Entwurf geben werde, der nochmals zu einer kurzen Begutachtung versendet werde! Der Deutsche Bundesdatenschutzbeauftragte Peter Schaar hielt die Festrede und berichtete, dass Deutschland im letzten Jahr die "Führerschaft in Datenschutzskandalen" übernommen habe. Die Entwicklung der Überwachung verglich er mit einem Frosch in einem Wasserglas: Springt dieser in ein Glas mit heißem Wasser, wird er sofort versuchen, wieder herauszuklettern, um sich darin nicht zu verbrühen. Ist das Wasser hingegen kalt und wird langsam erwärmt, so wird der Frosch dies zunächst gar nicht bemerken. Wenn er es merkt, ist er durch die Wärme dann schon so geschwächte, dass er nicht mehr herauskann. So gehe es laut Schaar derzeit den Bürgern, die "schleichend" einer immer stärkeren Überwachung unterworfen werden und bis sie dies merken, dieser dann nicht mehr auskommen.
Der Verfassungsgerichtshof lässt uns leider noch länger im Wasser zappeln. Die von der Dezember-Session auf die März-Session verschobene Befassung mit den seit 1.1.2008 geltenden neuen Regeln zur Überwachung im Sicherheitspolizeigesetz fand entgegen voreiliger Medienankündigungen nicht statt, sondern wurde schon am ersten Tag der Session wieder verschoben und findet frühestens im Sommer statt.
Dem Datenschutz gehen die Themen nicht aus: Obwohl ich mich seit nunmehr 10 Jahren hauptberuflich mit Datenschutzrecht befasse, gibt es immer wieder neue Themen, die mit Datenschutz in Zusammenhang stehen. Vorletzte Woche befragte mich ein Journalist der "Presse" zum Thema "Dopingüberwachung und Datenschutz" und verfasste dazu einen interessanten Artikel mit verschiedenen Aussagen zu diesem Thema: http://diepresse.com/home/sport/mehrsport/457866/index.do?from=suche.intern.portal
Ende Jänner fand im Bundeskanzleramt ein Festakt zum "Europäischen Datenschutztag" statt. Der Leiter des Bundeskanzleramtes, Univ. Prof. Lienbacher berichtete, dass die Arbeiten an der DSG-Novelle wieder aufgenommen worden seien und versprach vor laufender Fernsehkamera, dass es bis Sommer einen überarbeiteten Entwurf geben werde, der nochmals zu einer kurzen Begutachtung versendet werde! Der Deutsche Bundesdatenschutzbeauftragte Peter Schaar hielt die Festrede und berichtete, dass Deutschland im letzten Jahr die "Führerschaft in Datenschutzskandalen" übernommen habe. Die Entwicklung der Überwachung verglich er mit einem Frosch in einem Wasserglas: Springt dieser in ein Glas mit heißem Wasser, wird er sofort versuchen, wieder herauszuklettern, um sich darin nicht zu verbrühen. Ist das Wasser hingegen kalt und wird langsam erwärmt, so wird der Frosch dies zunächst gar nicht bemerken. Wenn er es merkt, ist er durch die Wärme dann schon so geschwächte, dass er nicht mehr herauskann. So gehe es laut Schaar derzeit den Bürgern, die "schleichend" einer immer stärkeren Überwachung unterworfen werden und bis sie dies merken, dieser dann nicht mehr auskommen.
Der Verfassungsgerichtshof lässt uns leider noch länger im Wasser zappeln. Die von der Dezember-Session auf die März-Session verschobene Befassung mit den seit 1.1.2008 geltenden neuen Regeln zur Überwachung im Sicherheitspolizeigesetz fand entgegen voreiliger Medienankündigungen nicht statt, sondern wurde schon am ersten Tag der Session wieder verschoben und findet frühestens im Sommer statt.
Dem Datenschutz gehen die Themen nicht aus: Obwohl ich mich seit nunmehr 10 Jahren hauptberuflich mit Datenschutzrecht befasse, gibt es immer wieder neue Themen, die mit Datenschutz in Zusammenhang stehen. Vorletzte Woche befragte mich ein Journalist der "Presse" zum Thema "Dopingüberwachung und Datenschutz" und verfasste dazu einen interessanten Artikel mit verschiedenen Aussagen zu diesem Thema: http://diepresse.com/home/sport/mehrsport/457866/index.do?from=suche.intern.portal
IAPP Datenschutzkonferenz in Washington
Anfan März nahm ich an einem der weltweit größten Datenschutzkongresse teil, dem Kongress der International Association of Privacy Professionals (kurz IAPP, www.iapp.com). Da ich der einzige Österreicher unter den über 1.000 Teilnehmern war, darf ich Ihnen kurz darüber berichten:
- Der Eröffnungsvortrag wurde origineller Weise von einem der größten Betrüger der jüngeren Weltgeschichte gehalten, Frank Abagnale, der im Alter von 16 bis 21 Jahren als Pilot, Anwalt, Collegeprofessor und Arzt auftrat und rund 2,5 Mio Dollar mit gefälschten Schecks ergaunerte bis er ab 21 Jahre in Frankreich, Schweden und Amerika inhaftiert war und nach 5 Jahren unter der Bedingung freigelassen wurde, dass er ab nun die Regierung in Betrugsangelegenheiten berät. Sein Leben war Vorlage für den von Steven Spielberg mit Leonardo diCaprio verfilmten Roman "Catch me if you can" (http://de.wikipedia.org/wiki/Catch_Me_If_You_Can ). In seinem Vortrag zeigte Hr. Abagnale anhand von Fotos, wie leicht man mit einfachen Chemikalien ausgefüllte Schecks in unterschriebene Blankoscheks "rückwaschen" kann und was er dagegen erfunden hat (zB einen Filzstift, der nicht auswaschbar ist). Ein Großteil der heutigen Sicherheitsmerkmale auf Banknoten, Schecks und in Pässen wurden von Abagnale erfunden (siehe www.abagnale.com)
- Thema Nr. 1 in den USA ist derzeit Identitätsdiebstahl (identity theft) in allen Formen bis hin zum Diebstahl von Gesundheitsidentifikationsdaten (medical ID theft) um Gesundheitsleistungen auf Kosten anderer beziehen zu können und alles, was man dagegen tun kann.
- Thema Nr. 2 im Datenschutz sind "Data Breach Notifications", also die Erfüllung der mittlerweile in einem Großteil der US-Bundesstaaten gültigen Vorschriften, wie die Öffentlichkeit bzw. die Betroffenen über Datenschutzverstöße oder Datenverluste zu informieren sind. Die parallel zum Kongress betriebene Datenschutzmesse zeigte auf den verschiedensten Messeständen, wo Hard-, Software und Consultingleistungen zum Bereich Datenverlust, Breach Notification und Credit Monitoring vorgestellt wurden, deutlich, wie weit Europa, wo eine Diskussion über solche Gesetze überhaupt erst anläuft, in diesem Bereich mittlerweile geradezu um Jahre "hinten" ist.
- Thema Nr. 3 ist die Frage, was die Regierung Obama für neue Datenschutzgesetze bringen wird. Die zu einer Podiumsdiskussion geladenen Regierungsbeamten wollten sich hier nicht besonders festlegen lassen, kündigten aber "more mature privacy laws" an, die sich ua mit einem weiteren "Hype-" Thema, dem "behavioral advertising" (auf den User nach seinem "Internetverhalten" persönlich zugeschnittene Werbung) befassen könnte.
- Thema Nr. 4 waren überraschender Weise die Datenschutzgesetzgebungen in der EU und Datentransfers von der EU in die USA. Dazu war als Redner ua der englische Datenschutzkommissar Richard Thomas geladen, der einen flammenden Appel zur Überarbeitung der EU-Datenschutzrichtlinie hielt, die er als völlig veraltetes Konzept aus den 60er und 70er Jahren bezeichnete und eine Studie über die Richtlinie für diesen Mai ankündigte. Thomas berichtete überdies, dass das Thema Datenverlust in England dort mittlerweile in der Öffentlichkeit so breitgetreten sei, dass die Engländer bei Umfragen als zweitgrößte Angst, was ihnen passieren kann, den Verlust ihrer persönlicher Daten durch Dritte angeben. Die in den Medien berichteten Datenverluste (zB 7,5 Mio Kinderbeihilfeakten verloren, 4 mal hintereinander Laptops mit Bewerberdaten bei der Armee verloren, großflächige Datenverluste auch beim Finanz- und Innenministerium und der Führerscheinbehörde sowie bei vielen privaten Firmen) seien aber nur die Spitze des Eisbergs, letztes Jahr wurden ihm über 400 Datenverluste gemeldet. Der spanische Datenschutzkommissar berichtete von der spanischen Initiative zur Schaffung eines globalen Datenschutzstandards, der im Herbst beschlussfähig vorliegen soll. Die französische Datenschutzbehörde "bejammerte" ihr viel zu kleines Budget von bloß EUR 14 Mio und die bloß 150 Mitarbeiter (davon kann die österreichische Datenschutzkommission nur träumen) und berichtete von über 200 Untersuchungen im letzten Jahr und Strafen von bis zu EUR 300.000,-- oder 5% des Umsatzes (auch davon kann die österreichische Datenschutzkommission nur träumen).
- Thema Nr. 5 war die Unternehmenskommunikation über Internet-Communities. Diskussionsteilnehmer berichteten von Vorgesetzten, mit denen nicht mehr über Email, sondern über Facebook (!) die unternehmensinterne Kommunikation geführt wird (da werden wir noch Albträumen haben, wenn dieser Trend nach Europa kommt) und Regierungsbeamte diskutierten offen darüber, ob und wann Nachrichten, die sie auf solche Plattformen posten als dienstlich gelten (und daher zB untersagt werden können) oder rein privat sind.
- Die sonstigen Themen waren breit gestreut vom Austausch von Gesundheitsinformationen über Mitarbeiterdatenschutz (insbes. Mitarbeiter-Gesundheitsprogramme) bis hin zu Cloud Computing oder Gendatenverarbeitung. Kurzum eine unglaublich informative und dichte Veranstaltung (mit bis zu 8 parallelen Vorträgen!).
- Der Eröffnungsvortrag wurde origineller Weise von einem der größten Betrüger der jüngeren Weltgeschichte gehalten, Frank Abagnale, der im Alter von 16 bis 21 Jahren als Pilot, Anwalt, Collegeprofessor und Arzt auftrat und rund 2,5 Mio Dollar mit gefälschten Schecks ergaunerte bis er ab 21 Jahre in Frankreich, Schweden und Amerika inhaftiert war und nach 5 Jahren unter der Bedingung freigelassen wurde, dass er ab nun die Regierung in Betrugsangelegenheiten berät. Sein Leben war Vorlage für den von Steven Spielberg mit Leonardo diCaprio verfilmten Roman "Catch me if you can" (http://de.wikipedia.org/wiki/Catch_Me_If_You_Can ). In seinem Vortrag zeigte Hr. Abagnale anhand von Fotos, wie leicht man mit einfachen Chemikalien ausgefüllte Schecks in unterschriebene Blankoscheks "rückwaschen" kann und was er dagegen erfunden hat (zB einen Filzstift, der nicht auswaschbar ist). Ein Großteil der heutigen Sicherheitsmerkmale auf Banknoten, Schecks und in Pässen wurden von Abagnale erfunden (siehe www.abagnale.com)
- Thema Nr. 1 in den USA ist derzeit Identitätsdiebstahl (identity theft) in allen Formen bis hin zum Diebstahl von Gesundheitsidentifikationsdaten (medical ID theft) um Gesundheitsleistungen auf Kosten anderer beziehen zu können und alles, was man dagegen tun kann.
- Thema Nr. 2 im Datenschutz sind "Data Breach Notifications", also die Erfüllung der mittlerweile in einem Großteil der US-Bundesstaaten gültigen Vorschriften, wie die Öffentlichkeit bzw. die Betroffenen über Datenschutzverstöße oder Datenverluste zu informieren sind. Die parallel zum Kongress betriebene Datenschutzmesse zeigte auf den verschiedensten Messeständen, wo Hard-, Software und Consultingleistungen zum Bereich Datenverlust, Breach Notification und Credit Monitoring vorgestellt wurden, deutlich, wie weit Europa, wo eine Diskussion über solche Gesetze überhaupt erst anläuft, in diesem Bereich mittlerweile geradezu um Jahre "hinten" ist.
- Thema Nr. 3 ist die Frage, was die Regierung Obama für neue Datenschutzgesetze bringen wird. Die zu einer Podiumsdiskussion geladenen Regierungsbeamten wollten sich hier nicht besonders festlegen lassen, kündigten aber "more mature privacy laws" an, die sich ua mit einem weiteren "Hype-" Thema, dem "behavioral advertising" (auf den User nach seinem "Internetverhalten" persönlich zugeschnittene Werbung) befassen könnte.
- Thema Nr. 4 waren überraschender Weise die Datenschutzgesetzgebungen in der EU und Datentransfers von der EU in die USA. Dazu war als Redner ua der englische Datenschutzkommissar Richard Thomas geladen, der einen flammenden Appel zur Überarbeitung der EU-Datenschutzrichtlinie hielt, die er als völlig veraltetes Konzept aus den 60er und 70er Jahren bezeichnete und eine Studie über die Richtlinie für diesen Mai ankündigte. Thomas berichtete überdies, dass das Thema Datenverlust in England dort mittlerweile in der Öffentlichkeit so breitgetreten sei, dass die Engländer bei Umfragen als zweitgrößte Angst, was ihnen passieren kann, den Verlust ihrer persönlicher Daten durch Dritte angeben. Die in den Medien berichteten Datenverluste (zB 7,5 Mio Kinderbeihilfeakten verloren, 4 mal hintereinander Laptops mit Bewerberdaten bei der Armee verloren, großflächige Datenverluste auch beim Finanz- und Innenministerium und der Führerscheinbehörde sowie bei vielen privaten Firmen) seien aber nur die Spitze des Eisbergs, letztes Jahr wurden ihm über 400 Datenverluste gemeldet. Der spanische Datenschutzkommissar berichtete von der spanischen Initiative zur Schaffung eines globalen Datenschutzstandards, der im Herbst beschlussfähig vorliegen soll. Die französische Datenschutzbehörde "bejammerte" ihr viel zu kleines Budget von bloß EUR 14 Mio und die bloß 150 Mitarbeiter (davon kann die österreichische Datenschutzkommission nur träumen) und berichtete von über 200 Untersuchungen im letzten Jahr und Strafen von bis zu EUR 300.000,-- oder 5% des Umsatzes (auch davon kann die österreichische Datenschutzkommission nur träumen).
- Thema Nr. 5 war die Unternehmenskommunikation über Internet-Communities. Diskussionsteilnehmer berichteten von Vorgesetzten, mit denen nicht mehr über Email, sondern über Facebook (!) die unternehmensinterne Kommunikation geführt wird (da werden wir noch Albträumen haben, wenn dieser Trend nach Europa kommt) und Regierungsbeamte diskutierten offen darüber, ob und wann Nachrichten, die sie auf solche Plattformen posten als dienstlich gelten (und daher zB untersagt werden können) oder rein privat sind.
- Die sonstigen Themen waren breit gestreut vom Austausch von Gesundheitsinformationen über Mitarbeiterdatenschutz (insbes. Mitarbeiter-Gesundheitsprogramme) bis hin zu Cloud Computing oder Gendatenverarbeitung. Kurzum eine unglaublich informative und dichte Veranstaltung (mit bis zu 8 parallelen Vorträgen!).
Abonnieren
Posts (Atom)
Posts
