Datenverwendung im Unternehmen
Dieter Kronegger
23.10.2013
23.10.2013
Übersicht
• Haftung• Datenschutz im Kommunikationsrecht• Cybercrime-Bestimmungen• Auskunftspflichten an
Sicherheitsbehörden und andere Stellen, Vorratsdatenspeicherung
23.10.2013
Haftung
23.10.2013
Haftung
• Wenn man umgangssprachlich von „Haftung“ spricht, meint man meist das Schadenersatzrecht
• Aber auch andere Rechtsgebiete können gemeint sein, z. B.:– Strafrecht– Arbeitsrecht– Verwaltungsrecht (z. B. Gewerberecht)
23.10.2013
Schadenersatz (Verschuldenshaftung)• 1. Schaden
– Vermögensschaden / ideeller Schaden• 2. Verursachung (Kausalität)• 3. Rechtswidrigkeit• 4. Verschulden
– Fahrlässigkeit / Vorsatz
23.10.2013
1. Vermögensschaden / ideeller Schaden• Vermögensschaden
– tatsächliche Verringerung des Vermögens, entgangener Gewinn
• ideeller Schaden– vor allem Schmerzensgeld– § 33 DSG, §§ 7ff MedienG, § 1328a ABGB:
Schadenersatz für bloßstellende Eingriffe in die Privatsphäre
23.10.2013
2. Verursachung (Kausalität)
• Damit jemand für einen Schaden in Anspruch genommen werden kann, muss der Schaden einem bestimmten Schädiger zugerechnet werden können
• Fragestellung: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte?
23.10.2013
3. Rechtswidrigkeit
• Nur wenn das Verhalten des Schädigers rechtswidrig war, ist Schadenersatz zu leisten
• 1) Verletzung eines „Schutzgesetzes“, d. h. eines Gesetzes, das vor dem Eintritt von Schäden schützen soll
• 2) Verletzung vertraglicher Verpflichtungen
23.10.2013
4. Verschulden (1)
• Vorsatz– Dem Schädiger war die Rechtswidrigkeit
seines Verhaltens bewusst, er hat den schädlichen Erfolg vorhergesehen und gebilligt (auch: „könnte schiefgehen, ist mir aber egal“)
• Fahrlässigkeit– Der Schädiger hat die gehörige Sorgfalt
außer Acht gelassen
23.10.2013
4. Verschulden (2)
• leichte Fahrlässigkeit– ein Fehler, der gelegentlich auch einem
sorgfältigen Menschen passieren kann (z.B. gelegentliche Programmierfehler)
• grobe Fahrlässigkeit– so sorgfaltswidrig, dass es einem
ordentlichen Menschen in dieser Situation keineswegs unterlaufen würde
23.10.2013
4. Verschulden (3)
• Sachverständige (auch: Gewerbetreibende) haften für die „erforderlichen, nicht gewöhnlichen“ Kenntnisse (§ 1299 ABGB)
• D. h. bei der Abgrenzung zwischen leichter und grober Fahrlässigkeit gilt ein höherer Sorgfaltsmaßstab. Wer sich zu einem Gewerbe bekennt, muss auch die erforderliche Qualifikation aufweisen.
23.10.2013
Allgemeines Schadenersatzrecht• Haftung für eigenes Verschulden• Haftung für fremdes Verschulden
– Haftung für Gehilfen (Erfüllungsgehilfen § 1313a ABGB = Dienstnehmer, Subunternehmer etc.)
• Haftung für gefährliche Sachen– z. B. Tiere, Bauwerke, Kraftfahrzeuge, Atomkraftwerke, ...– Computer sind (noch) keine gefährlichen Sachen
• Produkthaftung– Haftung für körperliche Sachen, z. B. Computer– Haftung nur für Tod, Körperverletzung, Sachschäden
23.10.2013
Praxis
• Strittig ist oft: Schadenshöhe, grobe oder leichte Fahrlässigkeit, Mitverschulden des Geschädigten
• Beweislast: Grundsätzlich beim Kläger– Im Vertragsverhältnis Beweislastumkehr
für das Verschulden: wer eine vertragliche Verpflichtung verletzt, muss beweisen, dass ihn daran kein Verschulden trifft
23.10.2013
Beispiel IT-Dienstleister
• Beim Softwareupgrade durch einen IT-Dienstleister werden Daten zerstört
• Der Kunde kann Schaden, Verursachung durch den IT-Dienstleister und Rechtswidrigkeit beweisen.
• Der IT-Dienstleister hat zwar die Haftung für leichte Fahrlässigkeit in den AGB ausgeschlossen, aber aufgrund des höheren Sorgfaltsmaßstabs kann er nicht beweisen, dass es bloß leichte Fahrlässigkeit war.
• Mitverschulden des Kunden, weil Backups fehlen, daher Schadensteilung (Abwägung von Verschulden des IT-Dienstleisters und Mitverschulden des Kunden)
23.10.2013
Beispiel Hacking
• Ein Redakteur der Zeitung „Österreich“ versucht vom Arbeitsplatz aus, das E-Mail-System der „Krone“ zu hacken. „Krone“ klagt auf Unterlassung.
• Die beiden ersten Instanzen prüfen nach Schadenersatzrecht, ob „Österreich“ für den Redakteur als „Erfüllungsgehilfen“ haftet.
• OGH (6 Ob 126/12s): Es geht um Unterlassung, also ist wie bei Besitzstörung zu prüfen. Auch der „mittelbare Störer“ kann auf Unterlassung geklagt werden. „Österreich“ hat Computer und IP-Adresse zur Verfügung gestellt und hätte Abhilfemöglichkeit gehabt , haftet daher.
23.10.2013
Haftungsbegrenzung durch das E-Commerce-Gesetz I• „Durchleitung“ (§ 13) und
Suchmaschinen (§ 14): keine Haftung, sofern– Übermittlung nicht veranlasst wird– Empfänger nicht ausgewählt wird– übermittelte Information nicht ausgewählt
oder verändert wird
23.10.2013
• „Caching“ (§ 15), „Hosting“ (§ 16), Links (§ 17): keine Haftung, wenn – Anbieter keine Kenntnis von rechtswidrigen
Inhalten hat,– bei Caching: Industriestandards beachtet, und– wenn er Kenntnis erlangt unverzüglich tätig wird
• § 18: keine Verpflichtung, aktiv zu überwachen oder aktiv nach rechtswidriger Tätigkeit zu forschen
Haftungsbegrenzung durch das E-Commerce-Gesetz II
23.10.2013
Haftungsbegrenzung durch das E-Commerce-Gesetz III• Haftungsausschluss für Zugangsanbieter wird
zunehmend untergraben– zB Internetsperren (Three-Strike-Regelung) in FR– zB Diskussion um offene WLANs in DE– zB Blockieren von Websites mit illegalen Inhalten
in mehreren EU-Mitgliedstaaten
• Review-Diskussion auf europäischer Ebene– Jan. 2012: Europäische Kommission: keine
Änderung der Richtlinie, bessere Koordination zwischen Mitgliedstaaten
23.10.2013
Beispiele Forenhaftung
• In einem Webforum (z. B. „Gästebuch“) werden rechtswidrige Inhalte gepostet– z. B. kreditschädigende Äußerungen, Beschimpfungen,
Markenrechtsverletzung, ...• Urteile zu §§ 16, 18 E-Commerce-Gesetz
– Löschung unmittelbar nach Hinweis: kein Schadenersatz– verspätete Löschung nach einer Woche: Schadenersatz– keine allgemeine Überwachungspflicht des Forenbetreibers
• aber wenn etwas gelöscht wurde: Überwachungspflicht, dass es nicht gleich wieder hineingestellt wird (OGH 6 Ob 178/04a, 21.12.2006)
• Delfi AS gegen Estland (EGMR, 10.10.2013): News-Portal, das kritischen Artikel veröffentlicht, muss mit negativen Postings rechnen. Je größer die Reichweite, desto größer die Verantwortung des Betreibers. Aber es bleibt dem Betreiber überlassen, wie er das Problem beleidigender Postings löst.
– Forenbetreiber muss sich das Wissen anonym und unentgeltlich tätiger Moderatoren nicht zurechnen lassen (OLG Wien 3 R 10/06x, 03.08.2006)
• Facebook: noch kein Urteil, aber wohl ähnlich zu sehen
23.10.2013
Verteilung der Haftung im Unternehmen• Haftung nach außen: Im Regelfall
werden Schadenersatzansprüche an das Unternehmen gerichtet, nicht an die Dienstnehmer
• Haftung innerhalb des Unternehmens:– Geschäftsführerhaftung– Dienstnehmerhaftpflichtgesetz
23.10.2013
Geschäftsführerhaftung
• § 84 AktG: Haftung des Vorstands gegenüber der AG– „Sorgfalt eines ordentlichen und
gewissenhaften Geschäftsleiters“• § 25 GmbHG: Haftung der
Geschäftsführer gegenüber der GmbH– „Sorgfalt eines ordentlichen
Geschäftsmannes“
23.10.2013
Dienstnehmerhaftpflichtgesetz
• Wenn ein Dienstnehmer seinem Dienstgeber einen Schaden zufügt, kann das Gericht aus Gründen der Billigkeit den Schadenersatz mäßigen oder bei einem „minderen Grad des Versehens“ auch ganz erlassen.
• Für eine „entschuldbare Fehlleistung“ haftet der Dienstnehmer nicht.
23.10.2013
Zuweisung von Verantwortung innerhalb des Unternehmens• Keine allgemein verbindlichen gesetzlichen
Regeln• Interne Organisationshandbücher (z. B.
gemäß § 14 DSG 2000)• Für den IT-Bereich können z. B. Standards
zum IT-Sicherheitsmanagement herangezogen werden (z. B. ISO 27001)
23.10.2013
Beispiel: IT-Grundschutz (BSI)
• Die IT-Grundschutz-Kataloge des BSI (www.bsi.de) treffen auch Aussagen dazu, wer für welche Maßnahmen verantwortlich sein soll. Beispiele:– Erstellung einer IT-Sicherheitsleitlinie: Initiierung:
Behörden/Unternehmensleitung, Umsetzung: IT-Sicherheitsmanagement-Team
– Schulung zu IT-Sicherheitsmaßnahmen: Initiierung und Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
– Passwortschutz: Initiierung: Leiter IT, Umsetzung: IT-Benutzer
• Rollendefinitionen, z. B. für „Administrator“, „Entwickler“, „IT-Betreuer“, „Leiter IT“, „Tester“, ...
23.10.2013
Vorbeugung
• Orientierung an Standards zum IT-Sicherheitsmanagement
• Zertifizierungen von Managementsystemen oder Produkten können die eigene Haftung beschränken (keine Fahrlässigkeit)
• Dokumentation, um Streitfällen vorzubeugen– Dokumentation von Weisungen– Dokumentation von Problemen, Sicherheits-
maßnahmen umzusetzen (z.B. fehlendes Budget)
23.10.2013
Vertragliche Regelungen zur Haftung• Begrenzung der Haftung
– Haftungsausschlüsse in Verträgen und AGBs
• Dienstleistung, Risiko verschuldens-unabhängig zu übernehmen– Versicherungen, Garantien
• Service Level Agreements, Pönalen• Beweislastregeln
23.10.2013
Datenschutz im Kommunikationsrecht
Geltungsbereich
• Die meisten Vorschriften richten sich an Betreiber von Kommunikationsdiensten (Telefonie, Internet, ...)
• Rechte von Nutzern gegenüber Kommunikationsdiensten
• Manche Vorschriften richten sich an alle Anbieter von Diensten der Informationsgesellschaft, z. B. Cookies, manche Informationspflichten
• Manche Vorschriften richten sich an Nutzer, z. B. Spamverbot
23.10.2013
23.10.2013
Rechtliche Grundlagen
• Fernmeldegeheimnis (Art. 10a StGG) – seit 01.01.1975 als Gegenstück zum
Briefgeheimnis• Telekommunikationsgesetz 2003
– BGBl. I Nr. 70/2003 (seit 20.08.2003)– letzte Änderung BGBl. I Nr. 96/2013
• Datenschutzgesetz 2000– BGBl. I Nr. 165/1999 (seit 01.01.2000)– letzte Änderung BGBl. I Nr. 83/2013
23.10.2013
Europarechtliche Grundlagen
• Telekommunikationsrecht ist stark europarechtlich determiniert• EU-Rechtsrahmen von 1997
– Liberalisierung, Ende der Monopole, Einführung unabhängiger Regulierungsbehörden
• EU-Rechtsrahmen von 2002– Fünf neue Richtlinien lösten unübersichtlichen älteren
Rechtsrahmen ab• EU-Rechtsrahmen von 2009
– umfassende Überarbeitung dieser Richtlinien, aber keine Änderung der grundlegenden Prinzipien
• Derzeit: Diskussion um „Telekommunikationsbinnenmarkt“-Vorschlag der Europäischen Kommission
23.10.2013
Wer fällt unter das TKG 2003? (1)
• Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten
• Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen
• Kommunikationsdienst = gewerbliche Dienstleistung, Übertragung von Signalen über Kommunikationsnetze
• Das Datenschutzkapitel bezieht sich auch auf „Kommunikationsnetze, die Datenerfassungs- und Identifizierungssysteme unterstützen“ (z. B. Bürgerkarte, Near Field Communication)
• Einzelne Bestimmungen (Spam, Cookies) gelten generell für alle
23.10.2013
Wer fällt unter das TKG 2003? (2)
• „Teilnehmer“: eine natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen hat
• „Benutzer“: eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben
• Beispiel: Unternehmen = Teilnehmer,Mitarbeiter = Benutzer
23.10.2013
Überblick DSG 2000 / TKG 2003• Datenschutzrichtlinie
95/46/EG, in Zukunft DS-Grundverordnung
• alle personen- bezogenen Daten
• alle Auftraggeber/ Betroffenen
• subsidiär anwendbar
• ePrivacy-RL 2002/58/EG idF 2009/136/EG
• Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten
• Betreiber/Teilnehmer
23.10.2013
Geschützte Datenarten
• Stammdaten– Name, Adresse, Teilnehmernummer, Vertrag, Bonität
• Verkehrsdaten– z. B. Rufnummern, Datum, Zeit, Dauer, Entgelte
• Inhaltsdaten– z. B. Sprache, Fax, IP-Pakete, SMS, ...
• Standortdaten– in Mobilnetzen teilweise sehr präzise, mobile
Endgeräte verfügen nun oft über GPS– im Festnetz: Adresse
23.10.2013
Grundsätze
• Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (strenger als allgemeines Datenschutzrecht)
• Übermittlung nur, wenn notwendig für Diensteerbringung oder mit Zustimmung des Betroffenen
• Löschung der Daten so bald wie möglich– z. B.: Verkehrsdaten sind zu löschen, wenn die
Rechnung nicht mehr angefochten werden kann
23.10.2013
Informationspflicht
• § 96 (3) TKG: Betreiber öffentlicher Kommunikationsdienste und Anbieter nach ECG– müssen Teilnehmer/Benutzer informieren, welche
personenbezogenen Daten sie ermitteln, verarbeiten, übermitteln, Rechtsgrundlage, Zweck, Dauer der Speicherung
– dürfen Daten nur ermitteln, wenn Teilnehmer/Benutzer eingewilligt haben, oder wenn die Daten zur Erbringung des gewünschten Dienstes, unbedingt erforderlich sind
• Diese Bestimmung ist umfassender als die Cookie-Regelung in Art. 5 (3) ePrivacy-RL, die sich nur auf den „Zugriff auf Informationen, die bereits im Endgerät gespeichert sind“ bezieht
23.10.2013
Cookies
• Cookies = Daten, die im Endgerät des Benutzers gespeichert sind und an einen Diensteanbieter übermittelt werden
• Mögliches Tracking des Benutzers• Cookies werden meist vom Browser
verwaltet, aber z. B. auch vom Flash-Player• Ähnliche Problematik auch bei
individualisierten Links in E-Mail-Newslettern
23.10.2013
Cookie-Regelungen (1)
• Speicherung von Informationen im Endgerät des Benutzers: nur mit Zustimmung des Betroffenen (Art. 5 Abs. 3 ePrivacy-RL)
• Art.-29-Gruppe sagt: das heißt vorherige Zustimmung, Website-Betreiber sollen auf Opt-in-Systeme umsteigen
• Europäische Kommission und ENISA äußern sich weniger klar
• § 96 (3) TKG ist umfassender als das Europarecht
23.10.2013
Cookie-Regelungen (2)
• Auslegung der Art.-29-Gruppe vom 07.06.2012• Sehr enge Auslegung
– Jede Form von Tracking über eine einzelne Session hinaus ist grundsätzlich problematisch.
– Session cookies sind weniger problematisch als Persistant cookies, aber auch nicht immer erlaubt
• Kriterium A: Cookies, die unbedingt nötig sind, um die Datenübertragung sicherzustellen, sind zulässig– Beispiel: load-balancing cookie, damit der Loadbalancer alle
Anfragen an den gleichen Webserver weiterleitet
23.10.2013
Cookie-Regelungen (3)
• Kriterium B: Cookies, die unbedingt nötig sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen, sind zulässig– User input cookies für mehrseitige Formulare, Warenkörbe– Authentication cookies, damit man nicht bei jedem Klick
Username und Passwort eingeben muss– User centric security cookies, die zB fehlgeschlagene
Loginversuche speichern– Multimedia player session cookies im Flashplayer– User interface costumisation cookies, zB Sprachauswahl
23.10.2013
Plugins sozialer Netze
• Art.-29-Gruppe 07.06.2012:– Cookies dürfen grundsätzlich nur bei Mitgliedern
des Netzwerks verwendet werden, die dort angemeldet sind
– Prinzipiell nur als Session Cookie– Längere Lebensdauer nur mit Zustimmung– Verwendung nur für vom Nutzer gewünschte
Zwecke („gefällt mir“), für andere Zwecke (Werbung, Tracking) nur mit Zustimmung
23.10.2013
Literatur zu Cookies
• Artikel 29-Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, Juni 2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_de.pdf
• Artikel-29-Datenschutzgruppe, Opinion 4/2012 on Cookie Consent Exemption, Juni 2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_de.pdf
• Europäische Kommission, Implementation of the revised Framework – Article 5(3) of the ePrivacy Directive, COCOM10-34, Oktober 2010, https://circabc.europa.eu/w/browse/73a499cb-1105-4f28-98e5-f98b14f4590c
• ENISA, Bittersweet cookies. Some security and privacy considerations, Februar 2011, http://www.enisa.europa.eu/act/it/library/pp/cookies/
23.10.2013
Kommunikationsgeheimnis
• § 93 TKG 2003• schützt Inhaltsdaten, Verkehrsdaten und
Standortdaten• Gerichtliche Strafdrohung für Betreiber und deren
Personal• Mithören, Abfangen, Aufzeichnung etc. durch alle
anderen als die Benutzer unzulässig– zufällig aufgenommene Nachrichten müssen gelöscht
werden– Zivilrechtliche Klagen (Unterlassung, Schadenersatz)
möglich
23.10.2013
Datensicherheit
• Detailliertere Datensicherheitsbestimmungen in § 95,§ 95a TKG neu: Erstellung und Umsetzung eines Sicherheitskonzepts, Prüfbefugnis der DSK
• Bei Verletzung des Schutzes personenbezogener Daten durch den Betreiber eines Kommunikationsdienstes:– in jedem Fall Verständigung der DSK– grundsätzlich auch Verständigung der Betroffenen, außer
wenn Daten für Unbefugte verschlüsselt sind
• Ähnliche Bestimmung auch zu Netzsicherheit und Verfügbarkeit (§ 16a), Prüfbefugnis der RTR
Standortdaten
• Verarbeitung nur mit Zustimmung zulässig (§ 102 TKG)– Auch wenn Zustimmung erteilt wurde, muss es möglich sein,
den Dienst vorübergehend abzuschalten
• § 96 Abs. 3 neu: Alle Anbieter von Diensten der Informationsgesellschaft müssen Zustimmung einholen, nicht bloß Betreiber von Kommunikationsnetzen
• Zur Flottenüberwachung: Arbeitsrecht (Betriebsvereinbarung) beachten
23.10.2013
23.10.2013
Rechnung und Einzelentgeltnachweis (EEN)• § 100 TKG 2003• EEN ist Standard, Teilnehmer können Rechnung
ohne EEN verlangen• Teilnehmer können Rechnung und EEN in Papierform
verlangen, unentgeltlich, kann vertraglich nicht ausgeschlossen werden
• Detaillierungsgrad durch EEN-V der RTR-GmbH festgelegt
• auch unverkürzte Form der angerufenen Nummer möglich
• für Unternehmen: ArbVG beachten!
23.10.2013
Teilnehmerverzeichnis
• §§ 18, 69, 103 TKG 2003• Von Betreibern öffentlicher Telefondienste zu
führen• Betreiberübergreifendes Verzeichnis• taxative Aufzählung der Datenarten• Nichteintragung auf Wunsch (kostenlos),
neue Teilnehmer müssen gefragt werden• Verbot der Auswertung der Teilnehmerdaten
23.10.2013
Weitere Bestimmungen
• Rufnummernanzeige (§ 104 TKG 2003)– muss im Einzelfall oder dauerhaft
unterdrückt werden können (kostenlos)• Anrufweiterschaltung (§ 105 TKG 2003)• Fangschaltung (§ 106 TKG 2003)
– Recht gegenüber dem Betreiber auf Feststellung der Identität eines belästigenden Anrufers
23.10.2013
Unerbetene Nachrichten (allgemein)• Komplexe Regelung in § 107 TKG 2003• Verwaltungsstrafe bis zu 37.000 Euro für E-
Mails, bis zu 58.000 Euro für Anrufe– aber wenige Strafverfahren. 2012: 344 Anzeigen
zu Spam-E-Mails, 59 Strafen, im Schnitt 196 Euro• Umfasst sind unerbetene Anrufe, Faxe, E-
Mail, SMS• Code of Conduct der ISPA und AGBs der
Internet Service Provider sind strenger als das Gesetz
23.10.2013
Unerbetene Anrufe und Faxe
• Unerbetene Anrufe und Faxe zu Werbezwecken sind unzulässig
• Novellen des TKG und KSchG im April 2011– Höhere Verwaltungsstrafen für unerbetene Anrufe (bis zu
58.000 Euro statt bis zu 37.000 Euro)– Unterdrückung oder Fälschung der Rufnummernanzeige
strafbar (auch bei zulässigen Anrufen/Faxen!)– Glücksspielverträge, die bei unerbetenen Anrufen
abgeschlossen wurden, sind nichtig– Rücktrittsrecht bei anderen Verträgen, die mittels
unerbetener Anrufe abgeschlossen wurden (aber nicht bei allen Arten von Verträgen)
23.10.2013
• Unerbetene E-Mails (und SMS) zu Werbezwecken oder als Massensendung (mehr als 50 Empfänger) sind unzulässig (auch B2B).
• Ausnahme für eigene Kunden (§ 107 Abs. 3 TKG):– Nur an E-Mail-Adressen (Telefonnummern), die vom
Absender selbst im Zuge eines Verkauf/einer Dienstleistung erhoben wurden
– Nur für eigene, ähnliche Produkte/Dienstleistungen– In jeder Nachricht: Möglichkeit, weitere Werbung
abzulehnen– Vor Versand mit ECG-Liste der RTR abgleichen (§ 7 (2)
ECG)
Unerbetene E-Mails (1)
23.10.2013
Unerbetene E-Mails (2)
• In jedem Fall (auch bei Zustimmung des Empfängers) ist unzulässig:– Verheimlichen oder Verschleiern der Identität des
Absenders– Werbung, die nicht als solche erkennbar ist
(§ 6 ECG)– Links auf Websites, die gegen ECG verstoßen– E-Mails ohne authentische Adresse, wo man
weitere Nachrichten abbestellen kann
23.10.2013
Mehrwertdienste
Teilnehmernetz-betreiber
Dienstenetz-betreiber
Teilnehmer(Unternehmen)
Anrufer(Mitarbeiter)
Mehrwert-dienste-anbieter
Vertrag
Vertrag
23.10.2013
Mehrwertdienste – Vertragsrecht
• Zwei verschiedene Verträge sind zu unterscheiden:– Vertrag zwischen Teilnehmer und Teilnehmernetzbetreiber
(Monatsentgelt, „normale“ Telefonate, ...)– Vertrag zwischen Anrufer und Mehrwertdiensteanbieter
(über den konkreten Anruf zum Mehrwertdienst, kommt stillschweigend durch das Tätigen des Anrufs zustande)
– Anrufer und Teilnehmer sind oft nicht identisch!
• Der Teilnehmer haftet nicht für den Anrufer, entsprechende Klauseln in AGB sind unwirksam
• Urteile: OGH 27.05.2003, 1 Ob 244/02t; OGH 24.06.2005, 1 Ob 114/05d
23.10.2013
Mehrwertdienste – Praxis (1)
• Vorbeugung von Problemen durch Sperren (durch den Netzbetreiber oder in der Telefonanlage)
• Einspruch gegen die Rechnung des Teilnehmernetzbetreiber– Zustimmungserklärung, dass die Daten über die strittigen
Telefonate an den Dienstenetzbetreiber bzw. den Mehrwertdienst übermittelt werden dürfen
– Teilnehmernetzbetreiber korrigiert seine Rechnung und leitet die Daten weiter
– Wenn keine Einigung erzielt werden kann: Streitschlichtungsverfahren bei der RTR
Mehrwertdienste – Praxis (2)
23.10.2013
• Allfällige Rechnung vom Mehrwertdiensteanbieter bzw. vom Dienstenetzbetreiber– Mängel im Vertrag zwischen Anrufer und
Mehrwertdiensteanbieter können geltend gemacht werden (z. B. Irrtum, List, Anruf durch nicht Geschäftsfähige, Verletzung regulatorischer Auflagen, ohne Bestellung gelieferte SMS-Abonnements, ...)
– Teilnehmer ist nicht verpflichtet, dem Mehrwertdiensteanbieter bei der Ausforschung des Anrufers zu helfen
23.10.2013
Mehrwertdienste – Novelle 2011
• Bestimmungen aus der TKG-Novelle 2011– RTR kann ein Verbot der Auszahlung an
Mehrwertdienstanbieter verhängen (§ 24a) und Nummern sperren lassen (§ 91a)• bereits mehrere Bescheide erlassen
– Wenn RTR Rechtsverletzungen bescheidmäßig festhält, müssen Teilnehmer nicht zahlen bzw. eine Gutschrift erhalten (§ 24a)
23.10.2013
Cybercrime
23.10.2013
Cybercrime-Bestimmungen
• Grundsätzlich kommen im Internet dieselben Strafbestimmungen zur Anwendung wie außerhalb: z. B. Betrug, gefährliche Drohung, ...
• In Umsetzung der Cybercrime-Konvention des Europarates wurden im Jahr 2002 Sonderbestimmungen ins Strafgesetzbuch eingefügt
23.10.2013
Strafgesetzbuch (1)
• § 118a StGB: Widerrechtlicher Zugriff auf ein Computersystem
• §§ 119, 119a StGB: Verletzung des Telekommunikationsgeheimnisses, Widerrechtliches Abfangen von Daten– Eindringen in Systeme, um mitzuhören oder sich Daten zu
beschaffen, die nicht für den Täter bestimmt sind– Abgrenzung zum „Kommunikationsgeheimnis“:
§ 93 TKG betrifft Betreiber und deren Personal• Täter ist nur mit Ermächtigung des Verletzten zu
verfolgen
23.10.2013
Strafgesetzbuch (2)
• § 126a: Datenbeschädigung– Der Bestimmung zur Sachbeschädigung
nachgebildet
• § 126b: Störung der Funktionsfähigkeit eines Computersystems
• § 126c: Missbrauch von Computerprogrammen oder Zugangsdaten– z. B. Missbrauch von Passwörtern
23.10.2013
Strafgesetzbuch (3)
• § 148a StGB: Betrügerischer Datenverarbeitungsmissbrauch– Den Strafbestimmungen zum Betrug
nachgebildet.
23.10.2013
Strafgesetzbuch (4)
• Für alle genannten Delikte gilt:– Vorsatzdelikte, meist wird sogar Absicht
verlangt (Fahrlässigkeit ist nicht strafbar)– Wie bei allen Vorsatzdelikten ist auch der
Versuch strafbar
23.10.2013
Weitere Bestimmungen
• § 51 DSG 2000: Datenverwendung in Gewinn- oder Schädigungsabsicht
• § 91 UrhG: Gerichtliche Strafe für verschiedene Eingriffe ins Urheberrecht
• Verbotsgesetz 1947 (z. B. § 3h)• Pornographiegesetz, § 207a StGB
(Kinderpornographie)
23.10.2013
Wer ist strafrechtlich verantwortlich?• Grundsätzlich immer der (unmittelbare) Täter,
Bestimmungstäter (Anstifter), Beitragstäter• Seit 2006 auch strafrechtliche Haftung des
Unternehmens für seine Dienstnehmer• Strafrechtswidrige Weisungen sind vom
Untergebenen abzulehnen– Keine Straffreiheit, allenfalls ein Milderungsgrund
23.10.2013
Verbandsverantwortlichkeits-gesetz (1)• Seit 01.01.2006 in Kraft• Verband = juristische Person
– aber nicht, wer in Vollziehung der Gesetze handelt (vgl. Amtshaftung)
• Entscheidungsträger / Mitarbeiter– Entscheidungsträger = Geschäftsführer, Vorstand, Prokurist,
Aufsichtsrat, oder wer „sonst maßgeblichen Einfluss auf die Geschäftsführung ausübt“.
• Verbandsgeldbuße, unabhängig vom Strafverfahren gegen den Dienstnehmer
23.10.2013
Verbandsverantwortlichkeits-gesetz (2)• Verantwortlichkeit für Straftaten eines
Entscheidungsträgers• Verantwortlichkeit für Straftaten eines
Mitarbeiters nur dann, wenn Entscheidungsträger die Tat ermöglicht oder erleichtert haben, indem sie die gebotene Sorgfalt außer acht gelassen haben
Verwaltungsstrafverfahren
• Grundsatz: Verwaltungsstrafrechtlich verantwortlich ist, wer zur Vertretung nach außen berufen ist
• § 9 (2) VStG: Es kann ein verant-wortlicher Beauftragter bestellt werden– muss nachweislich zugestimmt haben– muss entsprechende Anordnungsbefugnis
haben
23.10.2013
23.10.2013
Auskunftpflicht an Sicherheitsbehörden und andere Stellen
Überblick
• Überwachung der Telekommunikation (StPO + TKG)– zur Aufklärung schwerer Straftaten, mit gerichtlicher Bewilligung
• § 53 Sicherheitspolizeigesetz– Umfassende Auskunftspflicht bei Vorliegen einer „Gefahr“
• Auskunft über Stammdaten– § 76a StPO: Verdacht einer Straftat– § 90 Abs. 6 TKG: Verdacht einer Verwaltungsübertretung
• § 98 Telekommunikationsgesetz (Notrufdienste)• § 18 E-Commerce-Gesetz• Urheberrechtsgesetz• Vorratsdatenspeicherung (seit 2012)
23.10.2013
23.10.2013
Überwachung der Telekommunikation (1)• § 134–140 StPO
– Aufklärung einer vorsätzlich begangenen, schweren Straftat
– Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen
– Rechtsmittel des Betroffenen– Nichtigkeit bei rechtswidriger Überwachung
• Mitwirkungspflicht für Betreiber nach TKG und Diensteanbieter nach E-Commerce-Gesetz
Überwachung der Telekommunikation (2)• § 94 TKG 2003, Überwachungsverordnung• Alle Betreiber sind zur Mitwirkung an einer
Überwachung im Sinne der StPO verpflichtet• Sprachtelefoniebetreiber mit eigenen physikalischen
Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung haben
• Anspruch auf Kostenersatz– VfGH: Betreiber haben Anspruch (G 37/02, 27.02.2003)– Überwachungskostenverordnung: für einzelne Vorgänge– Investititonskosten: 80% der Personal- und
Sachaufwendungen werden vom Staat ersetzt (§ 94 TKG)
23.10.2013
23.10.2013
Seit 1.1.2008 Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 20110
1,000
2,000
3,000
4,000
5,000
6,000
Überwachung von Nachrichten
Inhalte
Standort- und Verkehrsdaten
Sicherheitspolizeigesetz (1)
• Sicherheitsbehörden können Auskünfte von Betreibern nach TKG und Diensteanbietern nach ECG verlangen
• Keine gerichtliche Bewilligung erforderlich• Kein Rechtsmittel für Betroffene, Information der
Betroffenen nur bei Verwendung von Vorratsdaten• Kein Kostenersatz für Diensteanbieter (Ausnahme:
Auskunft über Standortdaten)• Sicherheitsbehörde muss rechtliche Zulässigkeit
gegenüber Diensteanbieter nicht nachweisen (Ausnahme: Auskunft über Standortdaten)
23.10.2013
Sicherheitspolizeigesetz (2)• § 53 Abs. 3a SPG (seit April 2012)
– Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses– IP-Adresse zu einer bestimmten Nachricht und dem Zeitpunkt ihrer
Übermittlung– Name und Anschrift des Benutzers, dem eine IP-Adresse zu einem
bestimmten Zeitpunkt zugewiesen war– Name, Anschrift und Nummer des Anschlusses, der zu einem bestimmten
Zeitpunkt eine bestimmte Nummer angerufen hat• keine Einschränkung auf schwere Straftaten (auch nicht für Zugriff auf
Vorratsdaten), es reicht, dass die Daten zur „Abwehr eines gefährlichen Angriffs“ benötigt werden, das ist auch die Vorbereitung einer Straftat
• VfGH B1031/11 29.06.2012: keine Bedenken gegen Ausforschung des Nutzers einer IP-Adresse ohne richterliche Prüfung
23.10.2013
23.10.2013
Auskunft über Stammdaten
• § 76a StPO: bei Verdacht einer Straftat– verpflichtet: Anbieter von Kommunikationsdiensten– Ersuchen von Kriminalpolizei, Staatsanwaltschaft, Gericht– umfasst auch Zugangsdaten, zB dynamische IP-Adressen
• § 90 Abs. 6 TKG 2003– an Verwaltungsbehörden bei Verdacht einer
Verwaltungsübertretung, die über ein Telekommunikationsnetz begangen wurde
– auf „schriftliches und begründetes Verlangen“• § 98 TKG 2003
– an Betreiber von Notrufdiensten– neu: Standortdaten automatisch schon bei Rufaufbau übermittelt,
Stammdaten bei Rückfrage
§ 18 E-Commerce-Gesetz
• Alle Diensteanbieter müssen auf gerichtliche Anordnung hin offenlegen:– alle Informationen, die zur Ermittlung eines Nutzers erforderlich sind– zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer
Handlungen
• Hosting-Provider müssen auf Verlangen eines Dritten bei dessen überwiegendem rechtlichem Interesse die Identität des Nutzers offenlegen– OGH 6 Ob 104/11d, 14.09.2011: Identität = Vorname, Zuname, Postanschrift, auch E-
Mail-Adresse, aber nur soweit vorhanden. Keine Pflicht, eine unbekannte E-Mail-Adresse auszuforschen.
– OGH 6 Ob 119/11k, 22.06.2012: wenn der Provider nur die dynamische IP-Adresse kennt und sonst nichts, muss er gar nichts offenlegen
– Keine vergleichbare Bestimmung in Deutschland: OGH 7 Ob 189/11m, 09.05.2012: kein Auskunftsanspruch gegen deutsche Website (Herkunftslandprinzip der E-Commerce-Richtlinie)
23.10.2013
23.10.2013
Urheberrechtsgesetz• § 87b UrhG: Wer in seinem Urheberrecht verletzt
wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen
• EuGH: – Auch ein reiner Access-Provider ist „Vermittler“– Ein Mitgliedstaat kann eine Auskunftspflicht des Providers an
private Dritte vorsehen, muss dabei aber die Richtlinien 2000/31, 2001/29, 2002/58, 2004/48 sowie die Grundrechte und die allgemeinen Grundsätze des Gemeinschaftsrechts, wie den Verhältnismäßigkeitsgrundsatz, abwägen.
– Promusicae, C-275/06, 29.01.2008 (Spanien)– LSG/Tele2, C-557/07, 19.02.2009 (Österreich)– Bonnier Audio, C-461/10, 25.05.2012 (Schweden)
23.10.2013
Vorratsdatenspeicherung (1)
• Bis 2012 verpflichtete keine der genannten Bestimmungen dazu, Daten auf Vorrat zu erheben oder zu speichern
• Im Gegenteil:– Nach DSG sind Daten zu löschen, wenn sie nicht mehr für
den ursprünglichen Zweck benötigt werden– Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn
sie nicht mehr für die Verrechnung benötigt werden– Empfehlung der DSK vom 11.10.2006: Unzulässigkeit der
Speicherung von dynamischen IP-Adressen bei Flatrate (K213.000/0005-DSK/2006), siehe auch VfGH G 31/08 vom 01.07.2009
Vorratsdatenspeicherung (2)
• Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen– Die Richtlinie wurde in den meisten Mitgliedstaaten
umgesetzt, aber in Rumänien (Okt. 2009), Deutschland (März 2010) und Tschechien (März 2011) wurde das nationale Gesetz vom Verfassungsgericht wieder aufgehoben (in Rumänien 2012 neu erlassen)
• Gilt nur für Betreiber von Kommunikationsnetzen oder -diensten
• Verkehrsdaten, keine Inhaltsdaten• Umsetzung in Österreich nach mehreren Entwürfen
im April/Mai 2011, trat am 1. April 2012 in Kraft
23.10.2013
23.10.2013
Vorratsdatenspeicherung (3)
• Novelle des TKG (BGBl. I Nr. 27/2011)– Wer hatte wann welche IP-Adresse?– Zu allen Telefonaten und SMS/MMS (auch Internettelefonie):
Rufnummern von Anrufer und Angerufenem, Zeit und Dauer– Bei Mobiltelefonie auch Standort bei Beginn der Verbindung– Zu allen E-Mails: Adressen des Absenders und Empfängers,
IP-Adresse des Absenders– Jeder Kontakt zum Mailserver: IP-Adresse, Zeitpunkt– Ausnahmen für kleine Netzbetreiber (ca. €300.000 Umsatz)– 6 Monate Speicherdauer– Getrennte Speicherung, Zugang mit Vier-Augen-Prinzip– Staatsanwaltschaft hat bei schweren Straftaten Zugang,
Polizei fast unbeschränkt
23.10.2013
Vorratsdatenspeicherung (4)
• Datensicherheitsverordnung – BGBl. II Nr. 402/2011
• Besondere Datensicherheitsbestimmungen– Separate Datenbank für Vorratsdaten– Vier-Augen-Prinzip– Revisionssichere Protokollierung
• Durchlaufstelle im Bundesrechenzentrum– Elektronisches Postfachsystem– Liest Inhalte nicht mit, prüft Identität der Behörden/der
Netzbetreiber, erstellt Statistiken
23.10.2013
Vorratsdatenspeicherung (5)
• Urteil des deutschen Bundesverfassungsgerichts– 02.03.2010, 1 BvR 256/08 ua– Aufhebung der deutschen Bestimmungen zur
Vorratsdatenspeicherung mit sofortiger Wirkung
• Vorratsdatenspeicherung ist möglich, aber:– Definition eines Katalogs besonders schwerwiegender
Straftaten im Gesetz (konkreter Verdacht, konkrete Gefahr)– Besonders strenge Datensicherheit (egal wieviel das kostet),
Kosten können auf Betreiber überwälzt werden– Weniger strenge Anforderungen, wenn es nur darum geht,
wer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse genutzt hat.
23.10.2013
Vorratsdatenspeicherung (6)
• Fragen an den Europäischen Gerichtshof, ob die Richtlinie vereinbar mit der Charta der Grundrechte der EU ist– irischer High Court (C-293/12)– öst. Verfassungsgerichtshof im Dez. 2012
(C-594/12), basierend auf einer Beschwerde von 11,139 Personen (AK Vorrat)
– öst. Datenschutzkommission im Jänner 2013(C-46/13)
23.10.2013
Adresse und Links
• Dieter KroneggerMillergasse 40/17, 1060 Wienhttp://www.kronegger.eu/, [email protected]
• Links zu Rechtsinformationen:http://www.ris.bka.gv.at/http://www.internet4jurists.at/http://www.rechtsprobleme.at/http://www.it-law.at/http://www.argedaten.at/