Verläßlichkeit von offenen Computersystemen 8. Vorlesung

1. Verläßlichkeit von offenen Computersystemen8. Vorlesung 2-stündige Vorlesung im WS 2005/2006 Nr 187.150 anrechenbar fürDatenschutz und Datensicherheit Vortragender: Peter Fleissner, o.Univ.-Prof. DI. Dr.-techn.E-Mail: peter.fleissner@igw.tuwien.ac.at

2. die nächsten Termine im EI 8 • Montag, 05.12.05, 18:00 -19:30 • Montag, 12.12.05, 18:00 -19:30 • Montag, 09.01.05, 18:00 -19:30 • Montag, 16.01.06, 18:00 -19:30 • Montag, 23.01.06, 18:00 -19:30 Prüfung

3. Organisatorisches zur LVA Auf unserem Server gibt es ein weblog mit allen organisatorischen Ankündigungen unter • http://igw.tuwien.ac.at/zope/igw/lvas/offcomSkripten und Präsentationen zur Vorlesung können von dort heruntergeladen werden.Auf dieser website können zu ausgewählten Themen Diskussionen geführt und Anfragen an den Vortragenden gestellt werden

4. Und los geht’s....

5. Das Österreichische Datenschutzgesetz (ÖDSG 2000)

6. Das Österreichische Datenschutzgesetz 2000

8. Publizität der Datenanwendungen Die EU-Richtlinie sieht drei alternative Instrumente vor, die gewährleisten sollen, daß Datenanwendungen nicht heimlich geschehen: • Meldungen von Datenanwendungen an ein von einer unabhängigen Kontrollstelle geführtes Register (Österreich). • Bestellung von internen Datenschutzbeauftragten, die Listen der Datenverarbeitungen der Auftraggeber führen (Deutschland). • Offenlegung von nicht meldepflichtigen Datenverarbeitungen auf Antrag jedes Interessierten (Österreich). Die verschiedenen Aspekte der Publizität von Datenanwendungen betreffen im ÖDSG im Prinzip drei Pflichten des Auftraggebers: • Meldung an die Datenschutzkommission und Eintrag ins Datenverarbeitungsregister (DVR) (§17) • Offenlegen nicht-meldepflichtiger Datenanwendungen (§23) • Informieren des Betroffenen bei der Ermittlung von Daten (§24)

9. Publizität der Datenanwendungen Die weiteren Paragraphen des ÖDSG legen die Prozedur der Genehmigung und Registrierung fest. • Datenverarbeitungsregister § 16 • Meldepflicht des Auftraggebers § 17 • Aufnahme der Verarbeitung § 18 • Notwendiger Inhalt der Meldung § 19 • Prüfungs- und Verbesserungsverfahren § 20 • Registrierung § 21 • Richtigstellung des Registers § 22 • Pflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen § 23 • Informationspflicht des Auftraggebers § 24 • Pflicht zur Offenlegung der Identität des Auftragsgebers § 25

10. Datenverarbeitungsregister §16 Bei der Datenschutzkommission ist ein Register der Datenanwendungen zum Zweck der Prüfung ihrer Rechtmäßigkeit eingerichtet, in das jeder Einsicht nehmen kann, der glaubhaft macht, daß er ein Betroffener ist. • Nähere Bestimmungen über die Führung des Registers durch Verordnung.

11. Meldepflicht des Auftraggebers §17 Jeder Auftraggeber ist verpflichtet, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission (zum Zweck der Registrierung im DVR) zu machen, falls es sich nicht um eine Ausnahme handelt. Folgende Datenanwendungen sind nicht meldepflichtig: • Inhalt besteht nur aus veröffentlichten oder nur indirekt personenbezogenen Daten • (gesetzlich) öffentlich einsehbare Register oder Verzeichnisse • für persönliche oder familiäre Zwecke • für publizistische Tätigkeit • Standardanwendungen • für Zwecke der "nationalen Sicherheit", soweit notwendig

12. Standardanwendung • Der Bundeskanzler kann durch Verordnung Typen von Datenanwendungen und Übermittlungen aus diesen zu Standardanwendungen erklären, wenn sie von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden und angesichts des Verwendungszwecks und der verarbeiteten Datenarten die Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist. In der Verordnung sind für jede Standardanwendung die zulässigen Datenarten, die Betroffenen- und Empfängerkreise und die Höchstdauer der zulässigen Datenaufbewahrung festzulegen. "Standardanwendungen" nach Z 6 des Abs. 2 sind Datenanwendungen, die in einem bestimmten Kontext üblicherweise vorgenommen werden und gleichzeitig inhaltlich die schutzwürdigen Geheimhaltungsinteressen voraussichtlich nicht gefährden, also zB insbesondere keine sensiblen Daten betreffen. Da die Vornahme solcher Anwendungen von jedermann in einer bestimmten Situation vorausgesetzt werden muss (zB Führung einer automationsunterstützten Buchhaltung), bedarf es keiner eigenen Meldung, um den Betroffenen auf die Existenz derartiger Datenanwendungen aufmerksam zu machen. Der Auftraggeber muss allerdings auf Anfrage jedermann offenlegen, welche Standardanwendungen er tatsächlich durchführt (§ 23). Die Richtlinie erlaubt diese Ausnahme in Art. 18 Abs. 2, 1. Anstrich.

13. Aufnahme der Verarbeitung §18 • Eine normale meldepflichtige Datenanwendung darf unmittelbar nach der Abgabe der Meldung an die Datenschutzkommission aufgenommen werden. • Meldepflichtige Datenanwendungen, die weder Musteranwendungen entsprechen noch innere Angelegenheiten von Religionsgemeinschaften betreffen, dürfen erst nach einer Vorabkontrolle(§20) durch die Datenschutzkommission aufgenommen werden, wenn sie • sensible Daten enthalten oder • strafrechtlich relevante Daten enthalten oder • über die Kreditwürdigkeit der Betroffenen Auskunft geben sollen oder • in Form eines Informationsverbundsystems durchgeführt werden sollen.

14. Notwendiger Inhalt der Meldung §19 Eine Meldung an die Datenschutzkommission hat folgende Informationen zu enthalten: • Name und Anschrift des Auftraggebers • Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen Befugnis, soweit erforderlich • Zweck und Rechtsgrundlage • Kreise der Betroffenen und Datenarten • beabsichtigte Übermittlungen und Empfängerkreise • (eventuell) Geschäftszahl der Genehmingung durch die DSK • Angaben über die Datensicherheitsmaßnahmen Bei Musteranwendungen ist eine eingeschränkte Meldung möglich.

15. Musteranwendungen Der Bundeskanzler kann durch Verordnung für gleichartige Datenanwendungen von vielen Auftraggebern, wenn die Voraussetzungen für die Erklärung zu einer Standardanwendung nicht vorliegen, Musteranwendungen festlegen. Für diese muss eine Meldung nur die • Bezeichnung gemäß der Musterverordnung • Bezeichnung und Anschrift des Auftraggebers • (eventuell) Registernummer • enthalten. • Die Datenanwendung darf keinen anderen Inhalt als den durch die Verordnung definierten Typus aufweisen.

16. Prüfungs- und Verbesserungsverfahren • Die Datenschutzkommission muss alle Meldungen innerhalb einer Frist von zwei Monaten prüfen und eventuell Auflagen zur Verbesserung von Mängeln machen. • In bestimmten Fällen kann die Datenschutzkommission die Weiterführung einer Datenanwendungen vorläufig untersagen. • Bei Datenanwendungen mit Vorabkontrolle, kann ihre Aufnahme untersagt werden. • Wird einem Verbesserungsauftrag nicht fristgerecht entsprochen, kann die DSK die Registrierung mit Bescheid ablehnen. • Reagiert die DSK nicht innerhalb von 2 Monaten, gilt die Meldepflicht als erfüllt.

17. Registrierung • Ist das Meldeverfahren gemäß §20 ordnungsgemäß durchgeführt worden, ist die Meldung in das Datenverarbeitungsregister einzutragen. • Angaben über die Sicherheitsmaßnahmen sind im DVA-Register nicht ersichtlich zu machen. • Der Auftraggeber erhält einen Registerauszug und beim ersten Mal eine Registernummer zugeteilt. Richtigstellung des Registers • Änderungen und Streichungen im Datenverarbeitungsregister können auf Antrag des Eingetragenen oder auch von Amts wegen durchgeführt werden. • Wenn ein Verdacht auf Mangelhaftigkeit einer Registrierung besteht, hat die DSK ein Verfahren zur Feststellung des für die Erfüllung erheblichen Sachverhalts einzuleiten und das DVR gegebenenfalls zu berichtigen.

18. Pflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen • Auftraggeber von Standardanwendungen müssen diese jedermann auf Anfrage bekannt geben. • Alle nicht-meldepflichtigen Datenanwendungen sind der DSK bei Ausübung ihrer Kontrolltätigkeit (§30) offenzulegen. Informationspflicht des Auftraggebers Bei der Ermittlungen von Daten hat der Auftraggeber die Betroffenen in geeigneter Weise zu informieren: • über Zweck der Datenanwendung, Name und Adresse des Auftraggebers • wenn nach Treu und Glauben erforderlich: • Widerspruchsrecht des Betroffenen • rechtliche Verpflichtung oder nicht • Informationsverbundsystemverarbeitung • Über Daten, die durch Übermittlung ermittelt wurden, darf die Information unter gewissen Voraussetzungen entfallen. • Bei nicht-meldepflichtigen Datenanwendungen entfällt die Informationspflicht ganz.

19. Pflicht zur Offenlegung der Identität des Auftraggebers • Der Auftraggeber muss seine Identität bei Übermittlungen und bei Mitteilungen an Betroffene in geeigneter Weise offenlegen, damit der Betroffene seine Rechtsmittel nutzen kann. Bei meldepflichtigen Anwendungen ist die Registernummer anzugeben. Abgabe von Postfach oder Telefonnummer reicht nicht. • Bei Mitteilungen von Dritten an den Betroffenen ist der eigentliche Auftraggeber, aus dessen Datenanwendung die Daten stammen, anzugeben. Relevant z.B. im Marketing-Bereich, wenn Auftraggeber verschieden vom "Anwender".

20. Die Rechte des Betroffenen Einfachgesetzliche Bestimmungen zu §1 (3). • Auskunftsrecht § 26 • Recht auf Richtigstellung oder Löschung § 27 • Widerspruchsrecht § 28 • Die Rechte des Betroffenen bei der Verwendung nur indirekt personbezogener Daten § 29

21. Auskunftsrecht 1/2 Der Betroffene hat das Recht über die zu seiner Person verwendeten Daten Auskunft zu verlangen. (Nachweis der Identität, (schriftliche) Anfrage) Die Auskunft hat in allgemeinverständlicher Form zu beinhalten: • Herkunft der Daten, allfällige Empfänger von Übermittlungen, Zweck und Rechtgrundlage der Datenverarbeitun, Name und Adresse der Dienstleister (auf Verlangen) Nicht zu erteilen ist die Auskunft, falls dies • zum Schutz des Betroffenen • aus überwiegendem Interesse des Auftraggebers oder eines Dritten • im überwiegendem öffentlichen Interesse ("nationalen Interesse") • notwendig ist. Im letzen Fall bekommt man die Mitteilung, dass »keine der Auskunftspflicht unterliegenden Daten« verwendet werden, und nur die DSK kontrolliert die Zulässigkeit der Auskunftsverweigerung.

22. "Nationale Interessen“ „Jedermann“ hat nicht viel Rechte, wenn Datenanwendungen zum Zwecke • des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich • der Sicherung der Einsatzbereitschaft des Bundesheeres • der Sicherstellung der Interessen der umfassenden Landesverteidigung • des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union • der Vorbeugung, Verhinderung oder Verfolgung von Straftaten • erfolgen.

23. Auskunftsrecht 2/2 • Der Betroffene hat in ihm zumutbaren Ausmaß am Auskunftsverfahren mitzuwirken. • Auskunft ist innerhalb von acht Wochen zu erteilen oder schriftlich zu begründen, warum nicht. Sie ist kostenlos, wenn der Betroffene im laufenden Jahr noch kein gleichartiges Auskunftersuchen gestellt hat, sonst kann ein Kostenersatz von 260 S verlangt werden. • Nach Eingang eines Auskunftsbegehrens darf der Auftraggeber Daten über den Betroffenen 4 Monate lang nicht löschen; nach einer Beschwerde nicht bis Abschluss des Verfahrens, andernfalls macht er sich strafbar (§ 52). • Auskünfte aus dem Strafregister sind nach Strafregistergesetz 1968 geregelt.

24. Recht auf Richtigstellung oder Löschung 1/2 Unrichtige oder unzulässigerweise verarbeitete Daten haben von Auftraggeber • aus eigenem Antrieb oder auf begründetem Antrag des Betroffenen richtiggestellt oder gelöscht zu werden. • Richtigkeit und Unvollständigkeit betrifft nur Daten, die für den Verwendungszweck wesentlich sind. Für den angegeben Zweck nicht mehr benötigte Daten gelten als unzulässig verarbeitet und müssen gelöscht werden, es sei denn, eine Archivierung oder Übermittlung für eine andere Weiterverwendung ist rechtlich zulässig. • Die Beweispflicht für die Richtigkeit liegt normalerweise beim Auftraggeber. • Richtigstellungen können in manchen Fälle auch durch Zusätze erfolgen. • Richtigstellungen sind innerhalb von acht Wochen nach Antragstellung durchzuführen, oder es muß schriftlich begründet werden, warum nicht.

25. Recht auf Richtigstellung oder Löschung 2/2 • In Fällen des "nationalen Interesses" ist eine Richtigstellung oder Löschung vorzunehmen, wenn das Ersuchen berechtigt ist, aber der Betroffene erhält keine richtige Auskunft darüber. Wieder hat dies die DSK zu kontrollieren. • Lässt sich Richtigkeit oder Unrichtigkeit nicht klären, ist auf Verlangen des Betroffenen ein Bestreitungsvermerk beizufügen. • Wurden Daten schon vorher übermittelt, hat der Auftraggeber die Empfänger über die Richtigstellung zu informieren, falls das mit vertretbarem Aufwand möglich ist. • Die Regelungen gelten für das Strafregister und öffentliche Bücher und Register nur insoweit, als dies durch Bundesgesetz nicht anders bestimmt wird.

26. Widerspruchsrecht Jeder Betroffene hat (sofern die Datenverwendung nicht gesetzlich vorgesehen ist) das Recht, Widerspruch gegen die Verwendung seiner Daten zu erheben, wenn sie ein überwiegendes Geheimhaltungsinteresse verletzt, das sich aus seiner besonderen Situation ergibt. • Der Auftraggeber hat bei Vorliegen der Voraussetzungen die Löschung der Daten innerhalb von acht Wochen durchzuführen und Übermittlungen zu unterlassen. • Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei kann man jederzeit auch ohne Begründung Widerspruch einlegen. Die Daten sind binnen acht Wochen zu löschen. • Die Ausübung des Widerspruchsrechts hat keinen Einfluss auf die rechtliche Zulässigkeit der Datenanwendung an sich. Sie betrifft nur einen individuell begrenzten Löschungsanspruch für Personen, deren Geheimhaltungsinteresse überdurchschnittlich ausgeprägt ist, und begründet keinen Schadensersatzanspruch. Beispiele wären: Verzeichnisse von österreichischen Gewerbetreibenden, Fernsprechteilnehmern oder Email-Adressen. • Das Widerspruchsrecht ist nicht für Datenanwendungen für Zwecke der Direktwerbung gedacht, weil dies in §268 der Gewerbeordnung geregelt ist.

27. Die Rechte des Betroffenen bei Verwendung nur indirekt personenbezogener Daten • Die Rechte auf Auskunft, Richtigstellung/Löschung und Widerspruch können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden.

28. Rechtsschutz • Die Datenschutzkommission ist das unabhängige Kontrollorgan im öffentlichen und im privaten Bereich, wobei sie von sich aus tätig werden kann. • Sie erkennt in beiden Bereichen auf Antrag des Betroffenen über Verletzungen des Auskunftsrechts; bezüglich der anderen Rechte trifft sie rechtsförmliche Entscheidungen dagegen nur im öffentlichen Bereich, bei privaten Auftraggebern sind die ordentlichen Gerichte zuständig. • Kontrollbefugnisse der Datenschutzkommission § 30 • Beschwerde an die Datenschutzkommission § 31 • Anrufung der Gerichte § 32 • Schadenersatz § 33 • Gemeinsame Bestimmungen § 34

29. Kontrollbefugnisse der Datenschutzkommission 1/2 • Wenn jemand seine Rechte (oder ihn betreffende Pflichten) verletzt meint, kann er sich mit einer Eingabe an die Datenschutzkommission wenden. Diese kann im Falle eines begründeten Verdachtes Einschau verlangen und Datenanwendungen überprüfen. Das Ergebnis des Prüfverfahrens ist dem Einschreiter mitzuteilen. • Sie ist berechtigt, relevante Räume des Auftraggebers oder Dienstleisters zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, Verarbeitungen durchzuführen und Kopien von Datenträgern herzustellen. • Im Falle von Datenanwendungen, die der Vorkontrolle unterliegen, kann sie auch ohne Verdacht prüfen; dies gilt auch für die geheimniskrämerische Datenanwendung im "nationalen Interesse". • Auftraggeber und Dienstleister haben die DSK bei ihrer Kontrolltätigkeit zu unterstützen, welche ihrerseits möglichst "schonend" vorgenommen werden muss.

30. Kontrollbefugnisse der Datenschutzkommission 2/2 • Sämtliche Informationen und Daten, die in diesem Verfahren der Datenschutzkommission zukommen, dürfen nur im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden, es sei denn, es entsteht der Verdacht auf ein "Kapitalverbrechen". • Bei unrechtmäßigen Zuständen kann die DSK Empfehlungen zu ihrer Beseitigung aussprechen und, wenn ihnen nach einer gesetzten Frist nicht entsprochen wird, • ein Verfahren zur Überprüfung der Registrierung einleiten, oder • Strafanzeige nach § 51 oder § 52 erstatten, oder • bei schweren Verstößen privater Auftraggeber Klage vor dem zuständigen Gericht gemäß § 32 (5) erheben.

31. Beschwerde an die Datenschutzkommission • Wird bei der Datenschutzkommission eine Beschwerde durch einen Betroffenen eingereicht und richtet diese sich gegen einen Auftraggeber des öffentlichen Bereichs, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist, trifft sie die Entscheidung über Geheimhaltung, Auskunft, Richtigstellung oder Löschung der Daten des Betroffenen. (quasi-richterliche Entscheidungsfunktion gemäß Art. 133 Z4 B-VG) Bei Datenanwendungen im "öffentlichen Interesse" kann die betroffene Behörde gegen einen Bescheid auf Offenlegung Beschwerde beim Verwaltungsgerichtshof erheben. • Bei Beschwerden gegen einen privaten Auftraggeber entscheidet die DSK nur über Verletzungen des Rechts auf Auskunft.

32. Anrufung der Gerichte • Werden Ansprüche gegen Auftraggeber des privaten Bereichs wegen Verletzung der Rechte auf Geheimhaltung, Richtigstellung oder Löschung erhoben, sind diese auf dem Zivilrechtsweg geltend zu machen. • Zur Sicherung der Ansprüche können einstweilige Verfügungen auf Unterlassung erlassen werden. • Für Klagen und einstweilige Verfügungen ist in erster Instanz das Landesgericht zuständig, in dessen Sprengel der Betroffene (oder der Auftraggeber bzw. Dienstleister) seinen Sitz hat. • Bei Fällen von allgemeinem Interesse hat die DSK auf Verlangen des Betroffenen vor Gericht als Nebenkläger aufzutreten.

33. Schadenersatz • Wird ein Auftraggeber der widerrechtlichen Verwendung der Daten schuldig gesprochen, so hat er dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. • Bei immateriellen Schäden wie Bloßstellung sind die entsprechenden Bestimmungen des Mediengesetzes anzuwenden. • Auftraggeber bzw. Dienstleister haften auch für das Verschulden ihres Personals. Sie können sich von der Haftung befreien, wenn sie nachweisen, dass der Schaden ihnen nicht zur Last gelegt werden kann.

34. Gemeinsame Bestimmungen • Anspruch auf Behandlung einer Eingabe, Beschwerde oder Klage erlischt, wenn der Einbringer nicht binnen drei Jahren nach dem beschwerenden Ereignis und binnen eines Jahres, nachdem er davon Kenntnis erhalten hat, diese einbringt. • Eingaben, Beschwerden, Klagen und Schadensansprüche können auch auf die Verletzung von datenschutzrechtlichen Vorschriften eines anderen Mitgliedsstaates der EU gegründet werden. • Die Datenschutzkommission hat den Unabhängigen Datenschutzkontrollstellen der anderen Mitgliedsstaaten der EU Amthilfe zu leisten oder kann diese um Unterstützung ersuchen.

35. Kontrollorgane • Zur Wahrung des Datenschutzes dient die Datenschutzkommission als vollziehendes Organ und der Datenschutzrat als beratendes Gremium. Verfassungsbestimmungen: • Die DSK übt ihre Befugnisse auch gegenüber den obersten Organen der Vollziehung aus (spezifiziert in Art. 19 B-VG = Bundespräsident, Bundesminister und Staatssekretäre sowie die Mitglieder der Landesregierungen). (§ 35 (2)) • Die Mitglieder der DSK sind in Ausübung ihres Amtes unabhängig und an keine Weisungen gebunden. Die in der Geschäftsstelle der DSK tätigen Bediensteten unterstehen fachlich nur den Weisungen des Vorsitzenden oder geschäftsführenden Mitglieds. (§ 37 (1) (2))

36. Organisatorisches zur Datenschutzkommission • § 36: Die Datenschutzkommission besteht aus sechs Mitgliedern, die auf Vorschlag der Bundesregierung vom Bundespräsidenten für die Dauer von 5 Jahren bestellt werden. Für jedes Mitglied ist ein Ersatzmitglied zu bestellen. • Die Mitglieder müssen rechtskundig sein und sollen Erfahrungen auf dem Gebiet des Datenschutzes besitzen; ein Mitglied muß dem Richterstand angehören. • Bei der Auswahl der Mitglieder ist Bedacht zu nehmen auf • Dreiervorschlag des Obersten Gerichtshofs (richterliches Mitglied) • Vorschlag der Länder (2 Mitglieder) • Dreiervorschlag der Bundeskammer für Arbeiter und Angestellte • Dreiervorschlag der Wirtschaftskammer Österreich • einen rechtkundigen Bundesbeamten • § 38: Die Datenschutzkommission hat sich eine Geschäftsordnung zu geben. • Zur Unterstützung der Geschaftsführung der Datenschutzkommission ist eine Geschäftsstelle einzurichten. • Vor dem Erlassen von Verordnungen ist die Datenschutzkommission anzuhören. • Spätestens alle zwei Jahre hat die Datenschutzkommission einen Bericht über ihre Tätigkeit zu erstellen. • § 39: Beschlußfähigkeit der Datenschutzkommission besteht bei Anwesenheit aller sechs Mitglieder (bzw. Ersatzmitglieder) unter dem Vorsitz des richterlichen Mitglieds. • Ein gültiger Beschluß ergibt sich durch Mehrheit der abgegebenen Stimmen, wobei Stimmenthaltung unzulässig ist und die Stimme des Vorsitzenden den Ausschlag gibt.

37. Wirkung von Bescheiden der Datenschutzkommission und des geschäftsführenden Mitglieds • Gegen Bescheide der Datenschutzkommission ist kein Rechtsmittel zulässig. Aber generell ist die Anrufung des Verwaltungsgerichtshofes zulässig. • Gegen verfahrensrechtliche Bescheide, die das geschäftsführende Mitglied der DSK erlassen hat, ist die Vorstellung an die Datenschutzkommission mit aufschiebender Wirkung zulässig. • Von Auftraggebern des öffentlichen Bereichs ist der den Rechtanschauungen der DSK gemäße Zustand unverzüglich herzustellen.

38. Einrichtung und Aufgaben des Datenschutzrates • Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet. • Der Datenschutzrat berät die Bundes- und Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes. • Fragen von grundsätzlicher Bedeutung • Stellungnahmen zu Gesetzesentwürfen der Bundesministerien • Stellungnahmen zu Vorhaben öffentlicher Auftraggeber (nicht Kirchen) • Recht auf Auskünfte und Einsicht im öffentlichen Bereich (nicht Kirchen) • Aufforderung an private Auftraggeber, zu Entwicklungen Stellung zu nehmen • Bedenken und Anregungen zur Verbesserung des Datenschutzes

39. Organisatorisches zum Datenschutzrat • § 42: Dem Datenschutzrat gehören Vertreter der politischen Parteien (4, 3, 1, 1, ...), je ein Vertreter der Bundeskammer für Arbeiter und Angestellte und der Wirtschaftskammer Österreich, zwei Vertreter der Länder, je ein Vertreter des Gemeindebundes und des Städtebundes und ein vom Bundeskanzler zu ernennender Vertreter des Bundes an. • Für jedes Mitglied ist ein Ersatzmitglied zu nennen; die Tätigkeit ist ehrenamtlich, und Mitglieder sollten berufliche Erfahrung auf dem Gebiet der Informatik und des Datenschutzes haben.  • § 43: Der Datenschutzrat gibt sich mit Beschluss eine Geschäftsordnung. • Es haben ein Vorsitzender und zwei Stellvertreter auf fünf Jahre gewählt zu werden. • Die Geschäftsführung unterliegt dem Bundeskanzleramt. • § 44: Die Sitzungen des Datenschutzrats werden nach Bedarf vom Vorsitzenden einberufen, es können Sachverständige hinzugezogen werden. • Zur Beschlussfassung reicht die einfache Mehrheit der abgegebenen Stimmen, zur Beschlussfähigkeit ist mehr als die Hälfte der Mitglieder erforderlich. • Jedes Mitglied ist verpflichtet an den Sitzungen teilzunehmen, außer im Fall einer gerechtfertigten Verhinderung, --> Ersatzmitglied. • Die Beratung des Datenschutzrates ist, sofern nicht anders beschlossen, vertraulich; die Mitglieder sind zur Verschwiegenheit verpflichtet.

40. Strafbestimmungen • Es gibt nur (noch) zwei Strafbestimmungen: rechtswidrige Verwendung von Daten in besonders verwerflicher Absicht = Gewinnerzielungs- oder Schädigungsabsicht, sowie Verwaltungsstrafbestimmungen für leichtere Vergehen gegen das DSG. • Die Strafbestimmungen kommen nur zur Anwendung, wenn nicht andere Gesetze (strengere) Strafen vorsehen. (Subsidiaritätsklausel) Datenverwendung in Gewinn- oder Schädigungsabsicht § 51 Verwaltungsstrafbestimmung § 52

41. Datenverwendung in Gewinn- oder Schädigungsabsicht §51 • Personen, die ihnen beruflich zugängliche oder widerrechtlich erworbene Daten, an denen ein Geheimhaltungsinteresse besteht, in der Absicht, sich eine Vermögensvorteil zu verschaffen oder anderen Schaden zuzufügen, selbst benützen, einem anderen zugänglich machen oder veröffentlichen, können mit einer Freiheitsstrafe von bis zu einem Jahr bestraft werden, wenn die Tat nicht nach anderen Bestimmungen strenger bestraft wird. • Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen (kein Offizialdelikt!) Es wird hier nur Benützung und Weitergabe unter Strafe gestellt, weil sonst z.B. §126a StGB maßgebend ist.

42. Verwaltungsstrafbestimmung §52 Sofern sie nicht anderswo strenger geahndet wird, begeht eine Verwaltungsübertretung, wer • sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen solchen aufrecht erhält, • Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, • Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht, • Daten nach einem Auskunftsbegehren vorsätzlich löscht, • die mit einer Geldstrafe bis zu 260000 S bestraft wird. (tatsächliche Schädigung) • Sofern sie nicht anderswo strenger geahndet wird, begeht eine Verwaltungsübertretung, wer • Daten ohne Meldung ermittelt, verarbeitet oder übermittelt, • Daten ohne erforderlich Genehmigung ins Ausland übermittelt oder überlässt, • seinen Offenlegungs- oder Informationspflichten nicht nachkommt, • die erforderlichen Sicherheitsmaßnahmen gröblich außer Acht läßt, • die mit einer Geldstrafe bis zu 130000 S bestraft wird. (potentielle Schädigung) • Der Versuch ist strafbar. Zuständig ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber seinen Sitz hat (oder wo die DSK ihren Sitz hat). (Verwaltungsstrafkompetenz)

43. Übergangs- und Schlussbestimmungen • Befreiung von Gebühren, Verwaltungsabgaben und vom Kostenersatz (Eingaben sind kostenfrei, keine Registrierungsgebühr, freier Registerauszug) • Mitteilungen an die anderen Mitgliedstaaten der Europäischen Union und an die Europäische Kommission • Feststellungen der Europäischen Kommission • Verwaltungsangelegenheiten gemäß Art. 30 B-VG • Sprachliche Gleichbehandlung • Manuelle Dateien • Umsetzungshinweis • Inkrafttreten • Übergangsbestimmungen • Verordnungserlassung • Verweisungen • Vollziehung

44. Elementares zur Kryptographie http://www-math.uni-paderborn.de/~aggathen/schuelerkrypto/2000/Bilder/porta.gif www.dergrossebruder.org http://th04acc0187.swisswebaward.ch/cms/docs/bilder/skytale.gif www5.in.tum.de/FA/ _2001/K1/wwwannounce.html

45. Elementares zur Kryptographie • Begriffserklärung • Geschichte • Klassische Kryptographie • Moderne Kryptographie (public-key Kryptosysteme)

46. Begriffe, Begriffe, Begriffe Kryptographie = Wissenschaft, die sich mit der Verschlüsselung von Daten beschäftigt. Kryptoanalyse = Brechen eines Kryptosystems ohne Kenntnis des Schlüssels Kryptosystem zur Verschlüsselung von Nachrichten operiert in Form eines Kodierschemas (Chiffrierverfahren) mit zwei Argumenten: Klartext und Schlüssel ---> ChiffretextV: K x S --> C mit V(k,s) = c K = Klartextraum, S = Schlüsselraum, C = Chiffretext- oder Kryptogrammraum  Zum Entschlüsseln braucht man ein inverses Verfahren: Chiffretext und Schlüssel ---> KlartextD: C x S --> K mit D(c, s') = V-1(c, s') = V-1(V(k,s),s') = k

47. Begriffe, Begriffe, Begriffe Man unterscheidet bei Kryptosystemen zwischen • symmetrischen Verfahren: gleicher Schlüssel zum Ver- und Entschlüsseln (s = s') • asymmetrischen Verfahren: verschiedene Schlüssel zum Ver- und Entschlüsseln (s ≠ s') Man unterscheidet unterschiedlich starke Angriffe, je nach Kenntnissen des Kryptoanalytikers 1. mit bekanntem Chiffretext2. mit (zusätzlich) bekanntem Klartext3. mit bekanntem I/O-Verhalten Chiffrierverfahren, • Klartextraum und Schlüsselraum sind dem »Feind« normalerweise bekannt, weil sie in einem relevanten Einsatzbereich schwer zu ändern sind.

48. Kurze Geschichte • Kryptographie hatte ursprünglich nur militärische und politische Anwendungen (im 16. und 17. Jahrhundert auch philosophisch/religiöse Bedeutung). Schon immer bestand ein Interesse daran, geheime Botschaften möglichst sicher zu übermitteln (z.B. Befehle an die Front) oder umgekehrt abgefangene Nachrichten zu entschlüsseln.Die wohl ältesten bekannten Beispiele für den Einsatz von Verschlüsselungen zur sicheren Datenübermittlung sind die Caesar Substitution und die Skytale von Sparta.

49. Die Natur als verschlüsselter Text Gottes „Blaise De Vigenère (1523-1596) author of Traictè des Chiffres spoke philosophically about this subject: • All nature is merely a cipher and a secret writing. The great name and essence of God and His wonders -- the very deeds, projects, words, actions, and demeanor of mankind -- what are they, for the most part, but a cipher? • Saphar meaning to number was the ancient Hebrew word for the English "cipher". The word was and still may be used as a term of derision to mock an unworthy ignorant person. Organ makers refer to the word as meaning a sound volunteered by a imperfect organ without pressing any key. It may be nothing; a naught, a zero, according to mathematicians. • But we shall speak of it as indicating a method of secret communication. According to the comprehensive Oxford English Dictionary, these forms of the word cipher were also acceptable in the Seventeenth Century: sipher, cyfer, cifer, ciphre, sypher, ziphre, scypher, cyphar, cyphre, ciphar, zifer, cypher. Francis Bacon who wrote about it spelled it as ciphras in Latin.“ Quelle: http://home.att.net/~tleary/cryptolo.htm

50. Verschiebechiffre (Caesar- Substitution) Der wohl bekannteste altertümliche Anwender kryptographischer Verfahren war (vermutlich) der römische Feldherr und Staatsmann Julius Caesar. Das Verfahren welches er verwendete war eine einfache zyklische Verschiebung um k Zeichen (Caesar: k=3). Eine Verschiebechiffre ist ein sehr einfacher Spezialfall einer Permutation. formal: ci = ai+k mod 26 • Beispiel mit k= 3: Klartextalphabet:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Geheimtextalphabet:D E F G H I J K L M N O P Q R S T U V W X Y Z A B C • Da die Anzahl möglicher Schlüssel sehr gering ist (26 inkl. Verschiebung mit k=0), kann man den Code sehr leicht durch simples Ausprobieren knacken. www.apprendre-en-ligne.net fr.wikipedia.org