Datenverwendung im Unternehmen

Dieter Kronegger

23.10.2013

23.10.2013

Übersicht

• Haftung• Datenschutz im Kommunikationsrecht• Cybercrime-Bestimmungen• Auskunftspflichten an

Sicherheitsbehörden und andere Stellen, Vorratsdatenspeicherung

23.10.2013

Haftung

23.10.2013

Haftung

• Wenn man umgangssprachlich von „Haftung“ spricht, meint man meist das Schadenersatzrecht

• Aber auch andere Rechtsgebiete können gemeint sein, z. B.:– Strafrecht– Arbeitsrecht– Verwaltungsrecht (z. B. Gewerberecht)

23.10.2013

Schadenersatz (Verschuldenshaftung)• 1. Schaden

– Vermögensschaden / ideeller Schaden• 2. Verursachung (Kausalität)• 3. Rechtswidrigkeit• 4. Verschulden

– Fahrlässigkeit / Vorsatz

23.10.2013

1. Vermögensschaden / ideeller Schaden• Vermögensschaden

– tatsächliche Verringerung des Vermögens, entgangener Gewinn

• ideeller Schaden– vor allem Schmerzensgeld– § 33 DSG, §§ 7ff MedienG, § 1328a ABGB:

Schadenersatz für bloßstellende Eingriffe in die Privatsphäre

23.10.2013

2. Verursachung (Kausalität)

• Damit jemand für einen Schaden in Anspruch genommen werden kann, muss der Schaden einem bestimmten Schädiger zugerechnet werden können

• Fragestellung: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte?

23.10.2013

3. Rechtswidrigkeit

• Nur wenn das Verhalten des Schädigers rechtswidrig war, ist Schadenersatz zu leisten

• 1) Verletzung eines „Schutzgesetzes“, d. h. eines Gesetzes, das vor dem Eintritt von Schäden schützen soll

• 2) Verletzung vertraglicher Verpflichtungen

23.10.2013

4. Verschulden (1)

• Vorsatz– Dem Schädiger war die Rechtswidrigkeit

seines Verhaltens bewusst, er hat den schädlichen Erfolg vorhergesehen und gebilligt (auch: „könnte schiefgehen, ist mir aber egal“)

• Fahrlässigkeit– Der Schädiger hat die gehörige Sorgfalt

außer Acht gelassen

23.10.2013

4. Verschulden (2)

• leichte Fahrlässigkeit– ein Fehler, der gelegentlich auch einem

sorgfältigen Menschen passieren kann (z.B. gelegentliche Programmierfehler)

• grobe Fahrlässigkeit– so sorgfaltswidrig, dass es einem

ordentlichen Menschen in dieser Situation keineswegs unterlaufen würde

23.10.2013

4. Verschulden (3)

• Sachverständige (auch: Gewerbetreibende) haften für die „erforderlichen, nicht gewöhnlichen“ Kenntnisse (§ 1299 ABGB)

• D. h. bei der Abgrenzung zwischen leichter und grober Fahrlässigkeit gilt ein höherer Sorgfaltsmaßstab. Wer sich zu einem Gewerbe bekennt, muss auch die erforderliche Qualifikation aufweisen.

23.10.2013

Allgemeines Schadenersatzrecht• Haftung für eigenes Verschulden• Haftung für fremdes Verschulden

– Haftung für Gehilfen (Erfüllungsgehilfen § 1313a ABGB = Dienstnehmer, Subunternehmer etc.)

• Haftung für gefährliche Sachen– z. B. Tiere, Bauwerke, Kraftfahrzeuge, Atomkraftwerke, ...– Computer sind (noch) keine gefährlichen Sachen

• Produkthaftung– Haftung für körperliche Sachen, z. B. Computer– Haftung nur für Tod, Körperverletzung, Sachschäden

23.10.2013

Praxis

• Strittig ist oft: Schadenshöhe, grobe oder leichte Fahrlässigkeit, Mitverschulden des Geschädigten

• Beweislast: Grundsätzlich beim Kläger– Im Vertragsverhältnis Beweislastumkehr

für das Verschulden: wer eine vertragliche Verpflichtung verletzt, muss beweisen, dass ihn daran kein Verschulden trifft

23.10.2013

Beispiel IT-Dienstleister

• Beim Softwareupgrade durch einen IT-Dienstleister werden Daten zerstört

• Der Kunde kann Schaden, Verursachung durch den IT-Dienstleister und Rechtswidrigkeit beweisen.

• Der IT-Dienstleister hat zwar die Haftung für leichte Fahrlässigkeit in den AGB ausgeschlossen, aber aufgrund des höheren Sorgfaltsmaßstabs kann er nicht beweisen, dass es bloß leichte Fahrlässigkeit war.

• Mitverschulden des Kunden, weil Backups fehlen, daher Schadensteilung (Abwägung von Verschulden des IT-Dienstleisters und Mitverschulden des Kunden)

23.10.2013

Beispiel Hacking

• Ein Redakteur der Zeitung „Österreich“ versucht vom Arbeitsplatz aus, das E-Mail-System der „Krone“ zu hacken. „Krone“ klagt auf Unterlassung.

• Die beiden ersten Instanzen prüfen nach Schadenersatzrecht, ob „Österreich“ für den Redakteur als „Erfüllungsgehilfen“ haftet.

• OGH (6 Ob 126/12s): Es geht um Unterlassung, also ist wie bei Besitzstörung zu prüfen. Auch der „mittelbare Störer“ kann auf Unterlassung geklagt werden. „Österreich“ hat Computer und IP-Adresse zur Verfügung gestellt und hätte Abhilfemöglichkeit gehabt , haftet daher.

23.10.2013

Haftungsbegrenzung durch das E-Commerce-Gesetz I• „Durchleitung“ (§ 13) und

Suchmaschinen (§ 14): keine Haftung, sofern– Übermittlung nicht veranlasst wird– Empfänger nicht ausgewählt wird– übermittelte Information nicht ausgewählt

oder verändert wird

23.10.2013

• „Caching“ (§ 15), „Hosting“ (§ 16), Links (§ 17): keine Haftung, wenn – Anbieter keine Kenntnis von rechtswidrigen

Inhalten hat,– bei Caching: Industriestandards beachtet, und– wenn er Kenntnis erlangt unverzüglich tätig wird

• § 18: keine Verpflichtung, aktiv zu überwachen oder aktiv nach rechtswidriger Tätigkeit zu forschen

Haftungsbegrenzung durch das E-Commerce-Gesetz II

23.10.2013

Haftungsbegrenzung durch das E-Commerce-Gesetz III• Haftungsausschluss für Zugangsanbieter wird

zunehmend untergraben– zB Internetsperren (Three-Strike-Regelung) in FR– zB Diskussion um offene WLANs in DE– zB Blockieren von Websites mit illegalen Inhalten

in mehreren EU-Mitgliedstaaten

• Review-Diskussion auf europäischer Ebene– Jan. 2012: Europäische Kommission: keine

Änderung der Richtlinie, bessere Koordination zwischen Mitgliedstaaten

23.10.2013

Beispiele Forenhaftung

• In einem Webforum (z. B. „Gästebuch“) werden rechtswidrige Inhalte gepostet– z. B. kreditschädigende Äußerungen, Beschimpfungen,

Markenrechtsverletzung, ...• Urteile zu §§ 16, 18 E-Commerce-Gesetz

– Löschung unmittelbar nach Hinweis: kein Schadenersatz– verspätete Löschung nach einer Woche: Schadenersatz– keine allgemeine Überwachungspflicht des Forenbetreibers

• aber wenn etwas gelöscht wurde: Überwachungspflicht, dass es nicht gleich wieder hineingestellt wird (OGH 6 Ob 178/04a, 21.12.2006)

• Delfi AS gegen Estland (EGMR, 10.10.2013): News-Portal, das kritischen Artikel veröffentlicht, muss mit negativen Postings rechnen. Je größer die Reichweite, desto größer die Verantwortung des Betreibers. Aber es bleibt dem Betreiber überlassen, wie er das Problem beleidigender Postings löst.

– Forenbetreiber muss sich das Wissen anonym und unentgeltlich tätiger Moderatoren nicht zurechnen lassen (OLG Wien 3 R 10/06x, 03.08.2006)

• Facebook: noch kein Urteil, aber wohl ähnlich zu sehen

23.10.2013

Verteilung der Haftung im Unternehmen• Haftung nach außen: Im Regelfall

werden Schadenersatzansprüche an das Unternehmen gerichtet, nicht an die Dienstnehmer

• Haftung innerhalb des Unternehmens:– Geschäftsführerhaftung– Dienstnehmerhaftpflichtgesetz

23.10.2013

Geschäftsführerhaftung

• § 84 AktG: Haftung des Vorstands gegenüber der AG– „Sorgfalt eines ordentlichen und

gewissenhaften Geschäftsleiters“• § 25 GmbHG: Haftung der

Geschäftsführer gegenüber der GmbH– „Sorgfalt eines ordentlichen

Geschäftsmannes“

23.10.2013

Dienstnehmerhaftpflichtgesetz

• Wenn ein Dienstnehmer seinem Dienstgeber einen Schaden zufügt, kann das Gericht aus Gründen der Billigkeit den Schadenersatz mäßigen oder bei einem „minderen Grad des Versehens“ auch ganz erlassen.

• Für eine „entschuldbare Fehlleistung“ haftet der Dienstnehmer nicht.

23.10.2013

Zuweisung von Verantwortung innerhalb des Unternehmens• Keine allgemein verbindlichen gesetzlichen

Regeln• Interne Organisationshandbücher (z. B.

gemäß § 14 DSG 2000)• Für den IT-Bereich können z. B. Standards

zum IT-Sicherheitsmanagement herangezogen werden (z. B. ISO 27001)

23.10.2013

Beispiel: IT-Grundschutz (BSI)

• Die IT-Grundschutz-Kataloge des BSI (www.bsi.de) treffen auch Aussagen dazu, wer für welche Maßnahmen verantwortlich sein soll. Beispiele:– Erstellung einer IT-Sicherheitsleitlinie: Initiierung:

Behörden/Unternehmensleitung, Umsetzung: IT-Sicherheitsmanagement-Team

– Schulung zu IT-Sicherheitsmaßnahmen: Initiierung und Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement

– Passwortschutz: Initiierung: Leiter IT, Umsetzung: IT-Benutzer

• Rollendefinitionen, z. B. für „Administrator“, „Entwickler“, „IT-Betreuer“, „Leiter IT“, „Tester“, ...

23.10.2013

Vorbeugung

• Orientierung an Standards zum IT-Sicherheitsmanagement

• Zertifizierungen von Managementsystemen oder Produkten können die eigene Haftung beschränken (keine Fahrlässigkeit)

• Dokumentation, um Streitfällen vorzubeugen– Dokumentation von Weisungen– Dokumentation von Problemen, Sicherheits-

maßnahmen umzusetzen (z.B. fehlendes Budget)

23.10.2013

Vertragliche Regelungen zur Haftung• Begrenzung der Haftung

– Haftungsausschlüsse in Verträgen und AGBs

• Dienstleistung, Risiko verschuldens-unabhängig zu übernehmen– Versicherungen, Garantien

• Service Level Agreements, Pönalen• Beweislastregeln

23.10.2013

Datenschutz im Kommunikationsrecht

Geltungsbereich

• Die meisten Vorschriften richten sich an Betreiber von Kommunikationsdiensten (Telefonie, Internet, ...)

• Rechte von Nutzern gegenüber Kommunikationsdiensten

• Manche Vorschriften richten sich an alle Anbieter von Diensten der Informationsgesellschaft, z. B. Cookies, manche Informationspflichten

• Manche Vorschriften richten sich an Nutzer, z. B. Spamverbot

23.10.2013

23.10.2013

Rechtliche Grundlagen

• Fernmeldegeheimnis (Art. 10a StGG) – seit 01.01.1975 als Gegenstück zum

Briefgeheimnis• Telekommunikationsgesetz 2003

– BGBl. I Nr. 70/2003 (seit 20.08.2003)– letzte Änderung BGBl. I Nr. 96/2013

• Datenschutzgesetz 2000– BGBl. I Nr. 165/1999 (seit 01.01.2000)– letzte Änderung BGBl. I Nr. 83/2013

23.10.2013

Europarechtliche Grundlagen

• Telekommunikationsrecht ist stark europarechtlich determiniert• EU-Rechtsrahmen von 1997

– Liberalisierung, Ende der Monopole, Einführung unabhängiger Regulierungsbehörden

• EU-Rechtsrahmen von 2002– Fünf neue Richtlinien lösten unübersichtlichen älteren

Rechtsrahmen ab• EU-Rechtsrahmen von 2009

– umfassende Überarbeitung dieser Richtlinien, aber keine Änderung der grundlegenden Prinzipien

• Derzeit: Diskussion um „Telekommunikationsbinnenmarkt“-Vorschlag der Europäischen Kommission

23.10.2013

Wer fällt unter das TKG 2003? (1)

• Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten

• Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen

• Kommunikationsdienst = gewerbliche Dienstleistung, Übertragung von Signalen über Kommunikationsnetze

• Das Datenschutzkapitel bezieht sich auch auf „Kommunikationsnetze, die Datenerfassungs- und Identifizierungssysteme unterstützen“ (z. B. Bürgerkarte, Near Field Communication)

• Einzelne Bestimmungen (Spam, Cookies) gelten generell für alle

23.10.2013

Wer fällt unter das TKG 2003? (2)

• „Teilnehmer“: eine natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen hat

• „Benutzer“: eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben

• Beispiel: Unternehmen = Teilnehmer,Mitarbeiter = Benutzer

23.10.2013

Überblick DSG 2000 / TKG 2003• Datenschutzrichtlinie

95/46/EG, in Zukunft DS-Grundverordnung

• alle personen- bezogenen Daten

• alle Auftraggeber/ Betroffenen

• subsidiär anwendbar

• ePrivacy-RL 2002/58/EG idF 2009/136/EG

• Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten

• Betreiber/Teilnehmer

23.10.2013

Geschützte Datenarten

• Stammdaten– Name, Adresse, Teilnehmernummer, Vertrag, Bonität

• Verkehrsdaten– z. B. Rufnummern, Datum, Zeit, Dauer, Entgelte

• Inhaltsdaten– z. B. Sprache, Fax, IP-Pakete, SMS, ...

• Standortdaten– in Mobilnetzen teilweise sehr präzise, mobile

Endgeräte verfügen nun oft über GPS– im Festnetz: Adresse

23.10.2013

Grundsätze

• Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (strenger als allgemeines Datenschutzrecht)

• Übermittlung nur, wenn notwendig für Diensteerbringung oder mit Zustimmung des Betroffenen

• Löschung der Daten so bald wie möglich– z. B.: Verkehrsdaten sind zu löschen, wenn die

Rechnung nicht mehr angefochten werden kann

23.10.2013

Informationspflicht

• § 96 (3) TKG: Betreiber öffentlicher Kommunikationsdienste und Anbieter nach ECG– müssen Teilnehmer/Benutzer informieren, welche

personenbezogenen Daten sie ermitteln, verarbeiten, übermitteln, Rechtsgrundlage, Zweck, Dauer der Speicherung

– dürfen Daten nur ermitteln, wenn Teilnehmer/Benutzer eingewilligt haben, oder wenn die Daten zur Erbringung des gewünschten Dienstes, unbedingt erforderlich sind

• Diese Bestimmung ist umfassender als die Cookie-Regelung in Art. 5 (3) ePrivacy-RL, die sich nur auf den „Zugriff auf Informationen, die bereits im Endgerät gespeichert sind“ bezieht

23.10.2013

Cookies

• Cookies = Daten, die im Endgerät des Benutzers gespeichert sind und an einen Diensteanbieter übermittelt werden

• Mögliches Tracking des Benutzers• Cookies werden meist vom Browser

verwaltet, aber z. B. auch vom Flash-Player• Ähnliche Problematik auch bei

individualisierten Links in E-Mail-Newslettern

23.10.2013

Cookie-Regelungen (1)

• Speicherung von Informationen im Endgerät des Benutzers: nur mit Zustimmung des Betroffenen (Art. 5 Abs. 3 ePrivacy-RL)

• Art.-29-Gruppe sagt: das heißt vorherige Zustimmung, Website-Betreiber sollen auf Opt-in-Systeme umsteigen

• Europäische Kommission und ENISA äußern sich weniger klar

• § 96 (3) TKG ist umfassender als das Europarecht

23.10.2013

Cookie-Regelungen (2)

• Auslegung der Art.-29-Gruppe vom 07.06.2012• Sehr enge Auslegung

– Jede Form von Tracking über eine einzelne Session hinaus ist grundsätzlich problematisch.

– Session cookies sind weniger problematisch als Persistant cookies, aber auch nicht immer erlaubt

• Kriterium A: Cookies, die unbedingt nötig sind, um die Datenübertragung sicherzustellen, sind zulässig– Beispiel: load-balancing cookie, damit der Loadbalancer alle

Anfragen an den gleichen Webserver weiterleitet

23.10.2013

Cookie-Regelungen (3)

• Kriterium B: Cookies, die unbedingt nötig sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen, sind zulässig– User input cookies für mehrseitige Formulare, Warenkörbe– Authentication cookies, damit man nicht bei jedem Klick

Username und Passwort eingeben muss– User centric security cookies, die zB fehlgeschlagene

Loginversuche speichern– Multimedia player session cookies im Flashplayer– User interface costumisation cookies, zB Sprachauswahl

23.10.2013

Plugins sozialer Netze

• Art.-29-Gruppe 07.06.2012:– Cookies dürfen grundsätzlich nur bei Mitgliedern

des Netzwerks verwendet werden, die dort angemeldet sind

– Prinzipiell nur als Session Cookie– Längere Lebensdauer nur mit Zustimmung– Verwendung nur für vom Nutzer gewünschte

Zwecke („gefällt mir“), für andere Zwecke (Werbung, Tracking) nur mit Zustimmung

23.10.2013

Literatur zu Cookies

• Artikel 29-Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, Juni 2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_de.pdf

• Artikel-29-Datenschutzgruppe, Opinion 4/2012 on Cookie Consent Exemption, Juni 2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_de.pdf

• Europäische Kommission, Implementation of the revised Framework – Article 5(3) of the ePrivacy Directive, COCOM10-34, Oktober 2010, https://circabc.europa.eu/w/browse/73a499cb-1105-4f28-98e5-f98b14f4590c

• ENISA, Bittersweet cookies. Some security and privacy considerations, Februar 2011, http://www.enisa.europa.eu/act/it/library/pp/cookies/

23.10.2013

Kommunikationsgeheimnis

• § 93 TKG 2003• schützt Inhaltsdaten, Verkehrsdaten und

Standortdaten• Gerichtliche Strafdrohung für Betreiber und deren

Personal• Mithören, Abfangen, Aufzeichnung etc. durch alle

anderen als die Benutzer unzulässig– zufällig aufgenommene Nachrichten müssen gelöscht

werden– Zivilrechtliche Klagen (Unterlassung, Schadenersatz)

möglich

23.10.2013

Datensicherheit

• Detailliertere Datensicherheitsbestimmungen in § 95,§ 95a TKG neu: Erstellung und Umsetzung eines Sicherheitskonzepts, Prüfbefugnis der DSK

• Bei Verletzung des Schutzes personenbezogener Daten durch den Betreiber eines Kommunikationsdienstes:– in jedem Fall Verständigung der DSK– grundsätzlich auch Verständigung der Betroffenen, außer

wenn Daten für Unbefugte verschlüsselt sind

• Ähnliche Bestimmung auch zu Netzsicherheit und Verfügbarkeit (§ 16a), Prüfbefugnis der RTR

Standortdaten

• Verarbeitung nur mit Zustimmung zulässig (§ 102 TKG)– Auch wenn Zustimmung erteilt wurde, muss es möglich sein,

den Dienst vorübergehend abzuschalten

• § 96 Abs. 3 neu: Alle Anbieter von Diensten der Informationsgesellschaft müssen Zustimmung einholen, nicht bloß Betreiber von Kommunikationsnetzen

• Zur Flottenüberwachung: Arbeitsrecht (Betriebsvereinbarung) beachten

23.10.2013

23.10.2013

Rechnung und Einzelentgeltnachweis (EEN)• § 100 TKG 2003• EEN ist Standard, Teilnehmer können Rechnung

ohne EEN verlangen• Teilnehmer können Rechnung und EEN in Papierform

verlangen, unentgeltlich, kann vertraglich nicht ausgeschlossen werden

• Detaillierungsgrad durch EEN-V der RTR-GmbH festgelegt

• auch unverkürzte Form der angerufenen Nummer möglich

• für Unternehmen: ArbVG beachten!

23.10.2013

Teilnehmerverzeichnis

• §§ 18, 69, 103 TKG 2003• Von Betreibern öffentlicher Telefondienste zu

führen• Betreiberübergreifendes Verzeichnis• taxative Aufzählung der Datenarten• Nichteintragung auf Wunsch (kostenlos),

neue Teilnehmer müssen gefragt werden• Verbot der Auswertung der Teilnehmerdaten

23.10.2013

Weitere Bestimmungen

• Rufnummernanzeige (§ 104 TKG 2003)– muss im Einzelfall oder dauerhaft

unterdrückt werden können (kostenlos)• Anrufweiterschaltung (§ 105 TKG 2003)• Fangschaltung (§ 106 TKG 2003)

– Recht gegenüber dem Betreiber auf Feststellung der Identität eines belästigenden Anrufers

23.10.2013

Unerbetene Nachrichten (allgemein)• Komplexe Regelung in § 107 TKG 2003• Verwaltungsstrafe bis zu 37.000 Euro für E-

Mails, bis zu 58.000 Euro für Anrufe– aber wenige Strafverfahren. 2012: 344 Anzeigen

zu Spam-E-Mails, 59 Strafen, im Schnitt 196 Euro• Umfasst sind unerbetene Anrufe, Faxe, E-

Mail, SMS• Code of Conduct der ISPA und AGBs der

Internet Service Provider sind strenger als das Gesetz

23.10.2013

Unerbetene Anrufe und Faxe

• Unerbetene Anrufe und Faxe zu Werbezwecken sind unzulässig

• Novellen des TKG und KSchG im April 2011– Höhere Verwaltungsstrafen für unerbetene Anrufe (bis zu

58.000 Euro statt bis zu 37.000 Euro)– Unterdrückung oder Fälschung der Rufnummernanzeige

strafbar (auch bei zulässigen Anrufen/Faxen!)– Glücksspielverträge, die bei unerbetenen Anrufen

abgeschlossen wurden, sind nichtig– Rücktrittsrecht bei anderen Verträgen, die mittels

unerbetener Anrufe abgeschlossen wurden (aber nicht bei allen Arten von Verträgen)

23.10.2013

• Unerbetene E-Mails (und SMS) zu Werbezwecken oder als Massensendung (mehr als 50 Empfänger) sind unzulässig (auch B2B).

• Ausnahme für eigene Kunden (§ 107 Abs. 3 TKG):– Nur an E-Mail-Adressen (Telefonnummern), die vom

Absender selbst im Zuge eines Verkauf/einer Dienstleistung erhoben wurden

– Nur für eigene, ähnliche Produkte/Dienstleistungen– In jeder Nachricht: Möglichkeit, weitere Werbung

abzulehnen– Vor Versand mit ECG-Liste der RTR abgleichen (§ 7 (2)

ECG)

Unerbetene E-Mails (1)

23.10.2013

Unerbetene E-Mails (2)

• In jedem Fall (auch bei Zustimmung des Empfängers) ist unzulässig:– Verheimlichen oder Verschleiern der Identität des

Absenders– Werbung, die nicht als solche erkennbar ist

(§ 6 ECG)– Links auf Websites, die gegen ECG verstoßen– E-Mails ohne authentische Adresse, wo man

weitere Nachrichten abbestellen kann

23.10.2013

Mehrwertdienste

Teilnehmernetz-betreiber

Dienstenetz-betreiber

Teilnehmer(Unternehmen)

Anrufer(Mitarbeiter)

Mehrwert-dienste-anbieter

Vertrag

Vertrag

23.10.2013

Mehrwertdienste – Vertragsrecht

• Zwei verschiedene Verträge sind zu unterscheiden:– Vertrag zwischen Teilnehmer und Teilnehmernetzbetreiber

(Monatsentgelt, „normale“ Telefonate, ...)– Vertrag zwischen Anrufer und Mehrwertdiensteanbieter

(über den konkreten Anruf zum Mehrwertdienst, kommt stillschweigend durch das Tätigen des Anrufs zustande)

– Anrufer und Teilnehmer sind oft nicht identisch!

• Der Teilnehmer haftet nicht für den Anrufer, entsprechende Klauseln in AGB sind unwirksam

• Urteile: OGH 27.05.2003, 1 Ob 244/02t; OGH 24.06.2005, 1 Ob 114/05d

23.10.2013

Mehrwertdienste – Praxis (1)

• Vorbeugung von Problemen durch Sperren (durch den Netzbetreiber oder in der Telefonanlage)

• Einspruch gegen die Rechnung des Teilnehmernetzbetreiber– Zustimmungserklärung, dass die Daten über die strittigen

Telefonate an den Dienstenetzbetreiber bzw. den Mehrwertdienst übermittelt werden dürfen

– Teilnehmernetzbetreiber korrigiert seine Rechnung und leitet die Daten weiter

– Wenn keine Einigung erzielt werden kann: Streitschlichtungsverfahren bei der RTR

Mehrwertdienste – Praxis (2)

23.10.2013

• Allfällige Rechnung vom Mehrwertdiensteanbieter bzw. vom Dienstenetzbetreiber– Mängel im Vertrag zwischen Anrufer und

Mehrwertdiensteanbieter können geltend gemacht werden (z. B. Irrtum, List, Anruf durch nicht Geschäftsfähige, Verletzung regulatorischer Auflagen, ohne Bestellung gelieferte SMS-Abonnements, ...)

– Teilnehmer ist nicht verpflichtet, dem Mehrwertdiensteanbieter bei der Ausforschung des Anrufers zu helfen

23.10.2013

Mehrwertdienste – Novelle 2011

• Bestimmungen aus der TKG-Novelle 2011– RTR kann ein Verbot der Auszahlung an

Mehrwertdienstanbieter verhängen (§ 24a) und Nummern sperren lassen (§ 91a)• bereits mehrere Bescheide erlassen

– Wenn RTR Rechtsverletzungen bescheidmäßig festhält, müssen Teilnehmer nicht zahlen bzw. eine Gutschrift erhalten (§ 24a)

23.10.2013

Cybercrime

23.10.2013

Cybercrime-Bestimmungen

• Grundsätzlich kommen im Internet dieselben Strafbestimmungen zur Anwendung wie außerhalb: z. B. Betrug, gefährliche Drohung, ...

• In Umsetzung der Cybercrime-Konvention des Europarates wurden im Jahr 2002 Sonderbestimmungen ins Strafgesetzbuch eingefügt

23.10.2013

Strafgesetzbuch (1)

• § 118a StGB: Widerrechtlicher Zugriff auf ein Computersystem

• §§ 119, 119a StGB: Verletzung des Telekommunikationsgeheimnisses, Widerrechtliches Abfangen von Daten– Eindringen in Systeme, um mitzuhören oder sich Daten zu

beschaffen, die nicht für den Täter bestimmt sind– Abgrenzung zum „Kommunikationsgeheimnis“:

§ 93 TKG betrifft Betreiber und deren Personal• Täter ist nur mit Ermächtigung des Verletzten zu

verfolgen

23.10.2013

Strafgesetzbuch (2)

• § 126a: Datenbeschädigung– Der Bestimmung zur Sachbeschädigung

nachgebildet

• § 126b: Störung der Funktionsfähigkeit eines Computersystems

• § 126c: Missbrauch von Computerprogrammen oder Zugangsdaten– z. B. Missbrauch von Passwörtern

23.10.2013

Strafgesetzbuch (3)

• § 148a StGB: Betrügerischer Datenverarbeitungsmissbrauch– Den Strafbestimmungen zum Betrug

nachgebildet.

23.10.2013

Strafgesetzbuch (4)

• Für alle genannten Delikte gilt:– Vorsatzdelikte, meist wird sogar Absicht

verlangt (Fahrlässigkeit ist nicht strafbar)– Wie bei allen Vorsatzdelikten ist auch der

Versuch strafbar

23.10.2013

Weitere Bestimmungen

• § 51 DSG 2000: Datenverwendung in Gewinn- oder Schädigungsabsicht

• § 91 UrhG: Gerichtliche Strafe für verschiedene Eingriffe ins Urheberrecht

• Verbotsgesetz 1947 (z. B. § 3h)• Pornographiegesetz, § 207a StGB

(Kinderpornographie)

23.10.2013

Wer ist strafrechtlich verantwortlich?• Grundsätzlich immer der (unmittelbare) Täter,

Bestimmungstäter (Anstifter), Beitragstäter• Seit 2006 auch strafrechtliche Haftung des

Unternehmens für seine Dienstnehmer• Strafrechtswidrige Weisungen sind vom

Untergebenen abzulehnen– Keine Straffreiheit, allenfalls ein Milderungsgrund

23.10.2013

Verbandsverantwortlichkeits-gesetz (1)• Seit 01.01.2006 in Kraft• Verband = juristische Person

– aber nicht, wer in Vollziehung der Gesetze handelt (vgl. Amtshaftung)

• Entscheidungsträger / Mitarbeiter– Entscheidungsträger = Geschäftsführer, Vorstand, Prokurist,

Aufsichtsrat, oder wer „sonst maßgeblichen Einfluss auf die Geschäftsführung ausübt“.

• Verbandsgeldbuße, unabhängig vom Strafverfahren gegen den Dienstnehmer

23.10.2013

Verbandsverantwortlichkeits-gesetz (2)• Verantwortlichkeit für Straftaten eines

Entscheidungsträgers• Verantwortlichkeit für Straftaten eines

Mitarbeiters nur dann, wenn Entscheidungsträger die Tat ermöglicht oder erleichtert haben, indem sie die gebotene Sorgfalt außer acht gelassen haben

Verwaltungsstrafverfahren

• Grundsatz: Verwaltungsstrafrechtlich verantwortlich ist, wer zur Vertretung nach außen berufen ist

• § 9 (2) VStG: Es kann ein verant-wortlicher Beauftragter bestellt werden– muss nachweislich zugestimmt haben– muss entsprechende Anordnungsbefugnis

haben

23.10.2013

23.10.2013

Auskunftpflicht an Sicherheitsbehörden und andere Stellen

Überblick

• Überwachung der Telekommunikation (StPO + TKG)– zur Aufklärung schwerer Straftaten, mit gerichtlicher Bewilligung

• § 53 Sicherheitspolizeigesetz– Umfassende Auskunftspflicht bei Vorliegen einer „Gefahr“

• Auskunft über Stammdaten– § 76a StPO: Verdacht einer Straftat– § 90 Abs. 6 TKG: Verdacht einer Verwaltungsübertretung

• § 98 Telekommunikationsgesetz (Notrufdienste)• § 18 E-Commerce-Gesetz• Urheberrechtsgesetz• Vorratsdatenspeicherung (seit 2012)

23.10.2013

23.10.2013

Überwachung der Telekommunikation (1)• § 134–140 StPO

– Aufklärung einer vorsätzlich begangenen, schweren Straftat

– Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen

– Rechtsmittel des Betroffenen– Nichtigkeit bei rechtswidriger Überwachung

• Mitwirkungspflicht für Betreiber nach TKG und Diensteanbieter nach E-Commerce-Gesetz

Überwachung der Telekommunikation (2)• § 94 TKG 2003, Überwachungsverordnung• Alle Betreiber sind zur Mitwirkung an einer

Überwachung im Sinne der StPO verpflichtet• Sprachtelefoniebetreiber mit eigenen physikalischen

Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung haben

• Anspruch auf Kostenersatz– VfGH: Betreiber haben Anspruch (G 37/02, 27.02.2003)– Überwachungskostenverordnung: für einzelne Vorgänge– Investititonskosten: 80% der Personal- und

Sachaufwendungen werden vom Staat ersetzt (§ 94 TKG)

23.10.2013

23.10.2013

Seit 1.1.2008 Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.

2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 20110

1,000

2,000

3,000

4,000

5,000

6,000

Überwachung von Nachrichten

Inhalte

Standort- und Verkehrsdaten

Sicherheitspolizeigesetz (1)

• Sicherheitsbehörden können Auskünfte von Betreibern nach TKG und Diensteanbietern nach ECG verlangen

• Keine gerichtliche Bewilligung erforderlich• Kein Rechtsmittel für Betroffene, Information der

Betroffenen nur bei Verwendung von Vorratsdaten• Kein Kostenersatz für Diensteanbieter (Ausnahme:

Auskunft über Standortdaten)• Sicherheitsbehörde muss rechtliche Zulässigkeit

gegenüber Diensteanbieter nicht nachweisen (Ausnahme: Auskunft über Standortdaten)

23.10.2013

Sicherheitspolizeigesetz (2)• § 53 Abs. 3a SPG (seit April 2012)

– Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses– IP-Adresse zu einer bestimmten Nachricht und dem Zeitpunkt ihrer

Übermittlung– Name und Anschrift des Benutzers, dem eine IP-Adresse zu einem

bestimmten Zeitpunkt zugewiesen war– Name, Anschrift und Nummer des Anschlusses, der zu einem bestimmten

Zeitpunkt eine bestimmte Nummer angerufen hat• keine Einschränkung auf schwere Straftaten (auch nicht für Zugriff auf

Vorratsdaten), es reicht, dass die Daten zur „Abwehr eines gefährlichen Angriffs“ benötigt werden, das ist auch die Vorbereitung einer Straftat

• VfGH B1031/11 29.06.2012: keine Bedenken gegen Ausforschung des Nutzers einer IP-Adresse ohne richterliche Prüfung

23.10.2013

23.10.2013

Auskunft über Stammdaten

• § 76a StPO: bei Verdacht einer Straftat– verpflichtet: Anbieter von Kommunikationsdiensten– Ersuchen von Kriminalpolizei, Staatsanwaltschaft, Gericht– umfasst auch Zugangsdaten, zB dynamische IP-Adressen

• § 90 Abs. 6 TKG 2003– an Verwaltungsbehörden bei Verdacht einer

Verwaltungsübertretung, die über ein Telekommunikationsnetz begangen wurde

– auf „schriftliches und begründetes Verlangen“• § 98 TKG 2003

– an Betreiber von Notrufdiensten– neu: Standortdaten automatisch schon bei Rufaufbau übermittelt,

Stammdaten bei Rückfrage

§ 18 E-Commerce-Gesetz

• Alle Diensteanbieter müssen auf gerichtliche Anordnung hin offenlegen:– alle Informationen, die zur Ermittlung eines Nutzers erforderlich sind– zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer

Handlungen

• Hosting-Provider müssen auf Verlangen eines Dritten bei dessen überwiegendem rechtlichem Interesse die Identität des Nutzers offenlegen– OGH 6 Ob 104/11d, 14.09.2011: Identität = Vorname, Zuname, Postanschrift, auch E-

Mail-Adresse, aber nur soweit vorhanden. Keine Pflicht, eine unbekannte E-Mail-Adresse auszuforschen.

– OGH 6 Ob 119/11k, 22.06.2012: wenn der Provider nur die dynamische IP-Adresse kennt und sonst nichts, muss er gar nichts offenlegen

– Keine vergleichbare Bestimmung in Deutschland: OGH 7 Ob 189/11m, 09.05.2012: kein Auskunftsanspruch gegen deutsche Website (Herkunftslandprinzip der E-Commerce-Richtlinie)

23.10.2013

23.10.2013

Urheberrechtsgesetz• § 87b UrhG: Wer in seinem Urheberrecht verletzt

wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen

• EuGH: – Auch ein reiner Access-Provider ist „Vermittler“– Ein Mitgliedstaat kann eine Auskunftspflicht des Providers an

private Dritte vorsehen, muss dabei aber die Richtlinien 2000/31, 2001/29, 2002/58, 2004/48 sowie die Grundrechte und die allgemeinen Grundsätze des Gemeinschaftsrechts, wie den Verhältnismäßigkeitsgrundsatz, abwägen.

– Promusicae, C-275/06, 29.01.2008 (Spanien)– LSG/Tele2, C-557/07, 19.02.2009 (Österreich)– Bonnier Audio, C-461/10, 25.05.2012 (Schweden)

23.10.2013

Vorratsdatenspeicherung (1)

• Bis 2012 verpflichtete keine der genannten Bestimmungen dazu, Daten auf Vorrat zu erheben oder zu speichern

• Im Gegenteil:– Nach DSG sind Daten zu löschen, wenn sie nicht mehr für

den ursprünglichen Zweck benötigt werden– Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn

sie nicht mehr für die Verrechnung benötigt werden– Empfehlung der DSK vom 11.10.2006: Unzulässigkeit der

Speicherung von dynamischen IP-Adressen bei Flatrate (K213.000/0005-DSK/2006), siehe auch VfGH G 31/08 vom 01.07.2009

Vorratsdatenspeicherung (2)

• Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen– Die Richtlinie wurde in den meisten Mitgliedstaaten

umgesetzt, aber in Rumänien (Okt. 2009), Deutschland (März 2010) und Tschechien (März 2011) wurde das nationale Gesetz vom Verfassungsgericht wieder aufgehoben (in Rumänien 2012 neu erlassen)

• Gilt nur für Betreiber von Kommunikationsnetzen oder -diensten

• Verkehrsdaten, keine Inhaltsdaten• Umsetzung in Österreich nach mehreren Entwürfen

im April/Mai 2011, trat am 1. April 2012 in Kraft

23.10.2013

23.10.2013

Vorratsdatenspeicherung (3)

• Novelle des TKG (BGBl. I Nr. 27/2011)– Wer hatte wann welche IP-Adresse?– Zu allen Telefonaten und SMS/MMS (auch Internettelefonie):

Rufnummern von Anrufer und Angerufenem, Zeit und Dauer– Bei Mobiltelefonie auch Standort bei Beginn der Verbindung– Zu allen E-Mails: Adressen des Absenders und Empfängers,

IP-Adresse des Absenders– Jeder Kontakt zum Mailserver: IP-Adresse, Zeitpunkt– Ausnahmen für kleine Netzbetreiber (ca. €300.000 Umsatz)– 6 Monate Speicherdauer– Getrennte Speicherung, Zugang mit Vier-Augen-Prinzip– Staatsanwaltschaft hat bei schweren Straftaten Zugang,

Polizei fast unbeschränkt

23.10.2013

Vorratsdatenspeicherung (4)

• Datensicherheitsverordnung – BGBl. II Nr. 402/2011

• Besondere Datensicherheitsbestimmungen– Separate Datenbank für Vorratsdaten– Vier-Augen-Prinzip– Revisionssichere Protokollierung

• Durchlaufstelle im Bundesrechenzentrum– Elektronisches Postfachsystem– Liest Inhalte nicht mit, prüft Identität der Behörden/der

Netzbetreiber, erstellt Statistiken

23.10.2013

Vorratsdatenspeicherung (5)

• Urteil des deutschen Bundesverfassungsgerichts– 02.03.2010, 1 BvR 256/08 ua– Aufhebung der deutschen Bestimmungen zur

Vorratsdatenspeicherung mit sofortiger Wirkung

• Vorratsdatenspeicherung ist möglich, aber:– Definition eines Katalogs besonders schwerwiegender

Straftaten im Gesetz (konkreter Verdacht, konkrete Gefahr)– Besonders strenge Datensicherheit (egal wieviel das kostet),

Kosten können auf Betreiber überwälzt werden– Weniger strenge Anforderungen, wenn es nur darum geht,

wer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse genutzt hat.

23.10.2013

Vorratsdatenspeicherung (6)

• Fragen an den Europäischen Gerichtshof, ob die Richtlinie vereinbar mit der Charta der Grundrechte der EU ist– irischer High Court (C-293/12)– öst. Verfassungsgerichtshof im Dez. 2012

(C-594/12), basierend auf einer Beschwerde von 11,139 Personen (AK Vorrat)

– öst. Datenschutzkommission im Jänner 2013(C-46/13)

23.10.2013

Adresse und Links

• Dieter KroneggerMillergasse 40/17, 1060 Wienhttp://www.kronegger.eu/, dieter@kronegger.eu

• Links zu Rechtsinformationen:http://www.ris.bka.gv.at/http://www.internet4jurists.at/http://www.rechtsprobleme.at/http://www.it-law.at/http://www.argedaten.at/