Datenverwendung im Unternehmen

Präsentation zum Thema: "Datenverwendung im Unternehmen"—  Präsentation transkript:

1 Datenverwendung im Unternehmen
Dieter Kronegger 1

2 Übersicht Haftung Datenschutz im Kommunikationsrecht
Cybercrime-Bestimmungen Auskunftspflichten an Sicherheitsbehörden und andere Stellen, Vorratsdatenspeicherung

3 Haftung

4 Haftung Wenn man umgangssprachlich von „Haftung“ spricht, meint man meist das Schadenersatzrecht Aber auch andere Rechtsgebiete können gemeint sein, z. B.: Strafrecht Arbeitsrecht Verwaltungsrecht (z. B. Gewerberecht)

5 Schadenersatz (Verschuldenshaftung)
Vermögensschaden / ideeller Schaden 2. Verursachung (Kausalität) 3. Rechtswidrigkeit 4. Verschulden Fahrlässigkeit / Vorsatz

6 1. Vermögensschaden / ideeller Schaden
tatsächliche Verringerung des Vermögens, entgangener Gewinn ideeller Schaden vor allem Schmerzensgeld § 33 DSG, §§ 7ff MedienG, § 1328a ABGB: Schadenersatz für bloßstellende Eingriffe in die Privatsphäre

7 2. Verursachung (Kausalität)
Damit jemand für einen Schaden in Anspruch genommen werden kann, muss der Schaden einem bestimmten Schädiger zugerechnet werden können Fragestellung: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte?

8 3. Rechtswidrigkeit Nur wenn das Verhalten des Schädigers rechtswidrig war, ist Schadenersatz zu leisten 1) Verletzung eines „Schutzgesetzes“, d. h. eines Gesetzes, das vor dem Eintritt von Schäden schützen soll 2) Verletzung vertraglicher Verpflichtungen

9 4. Verschulden (1) Vorsatz Fahrlässigkeit
Dem Schädiger war die Rechtswidrigkeit seines Verhaltens bewusst, er hat den schädlichen Erfolg vorhergesehen und gebilligt (auch: „könnte schiefgehen, ist mir aber egal“) Fahrlässigkeit Der Schädiger hat die gehörige Sorgfalt außer Acht gelassen

10 4. Verschulden (2) leichte Fahrlässigkeit grobe Fahrlässigkeit
ein Fehler, der gelegentlich auch einem sorgfältigen Menschen passieren kann (z.B. gelegentliche Programmierfehler) grobe Fahrlässigkeit so sorgfaltswidrig, dass es einem ordentlichen Menschen in dieser Situation keineswegs unterlaufen würde

11 4. Verschulden (3) Sachverständige (auch: Gewerbetreibende) haften für die „erforderlichen, nicht gewöhnlichen“ Kenntnisse (§ 1299 ABGB) D. h. bei der Abgrenzung zwischen leichter und grober Fahrlässigkeit gilt ein höherer Sorgfaltsmaßstab. Wer sich zu einem Gewerbe bekennt, muss auch die erforderliche Qualifikation aufweisen.

12 Allgemeines Schadenersatzrecht
Haftung für eigenes Verschulden Haftung für fremdes Verschulden Haftung für Gehilfen (Erfüllungsgehilfen § 1313a ABGB = Dienstnehmer, Subunternehmer etc.) Haftung für gefährliche Sachen z. B. Tiere, Bauwerke, Kraftfahrzeuge, Atomkraftwerke, ... Computer sind (noch) keine gefährlichen Sachen Produkthaftung Haftung für körperliche Sachen, z. B. Computer Haftung nur für Tod, Körperverletzung, Sachschäden

13 Praxis Strittig ist oft: Schadenshöhe, grobe oder leichte Fahrlässigkeit, Mitverschulden des Geschädigten Beweislast: Grundsätzlich beim Kläger Im Vertragsverhältnis Beweislastumkehr für das Verschulden: wer eine vertragliche Verpflichtung verletzt, muss beweisen, dass ihn daran kein Verschulden trifft

14 Beispiel IT-Dienstleister
Beim Softwareupgrade durch einen IT-Dienstleister werden Daten zerstört Der Kunde kann Schaden, Verursachung durch den IT-Dienstleister und Rechtswidrigkeit beweisen. Der IT-Dienstleister hat zwar die Haftung für leichte Fahrlässigkeit in den AGB ausgeschlossen, aber aufgrund des höheren Sorgfaltsmaßstabs kann er nicht beweisen, dass es bloß leichte Fahrlässigkeit war. Mitverschulden des Kunden, weil Backups fehlen, daher Schadensteilung (Abwägung von Verschulden des IT-Dienstleisters und Mitverschulden des Kunden)

15 Beispiel Hacking Ein Redakteur der Zeitung „Österreich“ versucht vom Arbeitsplatz aus, das -System der „Krone“ zu hacken. „Krone“ klagt auf Unterlassung. Die beiden ersten Instanzen prüfen nach Schadenersatzrecht, ob „Österreich“ für den Redakteur als „Erfüllungsgehilfen“ haftet. OGH (6 Ob 126/12s): Es geht um Unterlassung, also ist wie bei Besitzstörung zu prüfen. Auch der „mittelbare Störer“ kann auf Unterlassung geklagt werden. „Österreich“ hat Computer und IP-Adresse zur Verfügung gestellt und hätte Abhilfemöglichkeit gehabt , haftet daher.

16 Haftungsbegrenzung durch das E-Commerce-Gesetz I
„Durchleitung“ (§ 13) und Suchmaschinen (§ 14): keine Haftung, sofern Übermittlung nicht veranlasst wird Empfänger nicht ausgewählt wird übermittelte Information nicht ausgewählt oder verändert wird

17 Haftungsbegrenzung durch das E-Commerce-Gesetz II
„Caching“ (§ 15), „Hosting“ (§ 16), Links (§ 17): keine Haftung, wenn Anbieter keine Kenntnis von rechtswidrigen Inhalten hat, bei Caching: Industriestandards beachtet, und wenn er Kenntnis erlangt unverzüglich tätig wird § 18: keine Verpflichtung, aktiv zu überwachen oder aktiv nach rechtswidriger Tätigkeit zu forschen

18 Haftungsbegrenzung durch das E-Commerce-Gesetz III
Haftungsausschluss für Zugangsanbieter wird zunehmend untergraben zB Internetsperren (Three-Strike-Regelung) in FR zB Diskussion um offene WLANs in DE zB Blockieren von Websites mit illegalen Inhalten in mehreren EU-Mitgliedstaaten Review-Diskussion auf europäischer Ebene Jan. 2012: Europäische Kommission: keine Änderung der Richtlinie, bessere Koordination zwischen Mitgliedstaaten

19 Beispiele Forenhaftung
In einem Webforum (z. B. „Gästebuch“) werden rechtswidrige Inhalte gepostet z. B. kreditschädigende Äußerungen, Beschimpfungen, Markenrechtsverletzung, ... Urteile zu §§ 16, 18 E-Commerce-Gesetz Löschung unmittelbar nach Hinweis: kein Schadenersatz verspätete Löschung nach einer Woche: Schadenersatz keine allgemeine Überwachungspflicht des Forenbetreibers aber wenn etwas gelöscht wurde: Überwachungspflicht, dass es nicht gleich wieder hineingestellt wird (OGH 6 Ob 178/04a, ) Delfi AS gegen Estland (EGMR, ): News-Portal, das kritischen Artikel veröffentlicht, muss mit negativen Postings rechnen. Je größer die Reichweite, desto größer die Verantwortung des Betreibers. Aber es bleibt dem Betreiber überlassen, wie er das Problem beleidigender Postings löst. Forenbetreiber muss sich das Wissen anonym und unentgeltlich tätiger Moderatoren nicht zurechnen lassen (OLG Wien 3 R 10/06x, ) Facebook: noch kein Urteil, aber wohl ähnlich zu sehen

20 Verteilung der Haftung im Unternehmen
Haftung nach außen: Im Regelfall werden Schadenersatzansprüche an das Unternehmen gerichtet, nicht an die Dienstnehmer Haftung innerhalb des Unternehmens: Geschäftsführerhaftung Dienstnehmerhaftpflichtgesetz

21 Geschäftsführerhaftung
§ 84 AktG: Haftung des Vorstands gegenüber der AG „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ § 25 GmbHG: Haftung der Geschäftsführer gegenüber der GmbH „Sorgfalt eines ordentlichen Geschäftsmannes“

22 Dienstnehmerhaftpflichtgesetz
Wenn ein Dienstnehmer seinem Dienstgeber einen Schaden zufügt, kann das Gericht aus Gründen der Billigkeit den Schadenersatz mäßigen oder bei einem „minderen Grad des Versehens“ auch ganz erlassen. Für eine „entschuldbare Fehlleistung“ haftet der Dienstnehmer nicht.

23 Zuweisung von Verantwortung innerhalb des Unternehmens
Keine allgemein verbindlichen gesetzlichen Regeln Interne Organisationshandbücher (z. B. gemäß § 14 DSG 2000) Für den IT-Bereich können z. B. Standards zum IT-Sicherheitsmanagement herangezogen werden (z. B. ISO 27001)

24 Beispiel: IT-Grundschutz (BSI)
Die IT-Grundschutz-Kataloge des BSI ( treffen auch Aussagen dazu, wer für welche Maßnahmen verantwortlich sein soll. Beispiele: Erstellung einer IT-Sicherheitsleitlinie: Initiierung: Behörden/Unternehmensleitung, Umsetzung: IT-Sicherheitsmanagement-Team Schulung zu IT-Sicherheitsmaßnahmen: Initiierung und Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement Passwortschutz: Initiierung: Leiter IT, Umsetzung: IT-Benutzer Rollendefinitionen, z. B. für „Administrator“, „Entwickler“, „IT-Betreuer“, „Leiter IT“, „Tester“, ...

25 Vorbeugung Orientierung an Standards zum IT-Sicherheitsmanagement
Zertifizierungen von Managementsystemen oder Produkten können die eigene Haftung beschränken (keine Fahrlässigkeit) Dokumentation, um Streitfällen vorzubeugen Dokumentation von Weisungen Dokumentation von Problemen, Sicherheits-maßnahmen umzusetzen (z.B. fehlendes Budget)

26 Vertragliche Regelungen zur Haftung
Begrenzung der Haftung Haftungsausschlüsse in Verträgen und AGBs Dienstleistung, Risiko verschuldens-unabhängig zu übernehmen Versicherungen, Garantien Service Level Agreements, Pönalen Beweislastregeln

27 Datenschutz im Kommunikationsrecht

28 Geltungsbereich Die meisten Vorschriften richten sich an Betreiber von Kommunikationsdiensten (Telefonie, Internet, ...) Rechte von Nutzern gegenüber Kommunikationsdiensten Manche Vorschriften richten sich an alle Anbieter von Diensten der Informationsgesellschaft, z. B. Cookies, manche Informationspflichten Manche Vorschriften richten sich an Nutzer, z. B. Spamverbot

29 Rechtliche Grundlagen
Fernmeldegeheimnis (Art. 10a StGG) seit als Gegenstück zum Briefgeheimnis Telekommunikationsgesetz 2003 BGBl. I Nr. 70/2003 (seit ) letzte Änderung BGBl. I Nr. 96/2013 Datenschutzgesetz 2000 BGBl. I Nr. 165/1999 (seit ) letzte Änderung BGBl. I Nr. 83/2013

30 Europarechtliche Grundlagen
Telekommunikationsrecht ist stark europarechtlich determiniert EU-Rechtsrahmen von 1997 Liberalisierung, Ende der Monopole, Einführung unabhängiger Regulierungsbehörden EU-Rechtsrahmen von 2002 Fünf neue Richtlinien lösten unübersichtlichen älteren Rechtsrahmen ab EU-Rechtsrahmen von 2009 umfassende Überarbeitung dieser Richtlinien, aber keine Änderung der grundlegenden Prinzipien Derzeit: Diskussion um „Telekommunikationsbinnenmarkt“-Vorschlag der Europäischen Kommission Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 33, in der Fassung der Richtlinie 2009/140/EG, ABl. Nr. L 337 vom , S. 37 Richtlinie 2002/19/EG über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung (Zugangsrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 7, in der Fassung der Richtlinie 2009/140/EG, ABl. Nr. L 337 vom , S. 37 Richtlinie 2002/20/EG über die Genehmigung elektronischer Kommunikationsnetze und -dienste (Genehmigungsrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 21, in der Fassung der Richtlinie 2009/140/EG, ABl. Nr. L 337 vom , S. 37 Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 51, in der Fassung der Richtlinie 2009/136/EG, ABl. Nr. L 337 vom , S. 11 Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ePrivacy-Richtlinie), ABl. Nr. L 201 vom 31. Juli 2002, S 37, in der Fassung der Richtlinie 2009/136/EG, ABl. Nr. L 337 vom , S. 11 Richtlinie 2002/77/EG über den Wettbewerb auf den Märkten für elektronische Kommunikationsnetze und -dienste, ABl. Nr. L 249 vom , S. 21 Entscheidung 676/2002/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen Rechtsrahmen für die Funkfrequenzpolitik in der Europäischen Gemeinschaft (Frequenzentscheidung), ABl. Nr. L 108 vom , S. 1 Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG, ABl. Nr. L 105 vom 13. April 2006, S 54 Verordnung (EG) 717/2007 des Europäischen Parlaments und des Rates vom 27. Juni 2007 über das Roaming in öffentlichen Mobilfunknetzen in der Gemeinschaft und zur Änderung der Richtlinie, ABl. Nr. L 171 vom , S. 32, in der Fassung der Verordnung (EG) 544/2009, ABl. L 16 vom , S. 12 und der Verordnung (EU) 531/2012, ABl. L 172 vom

31 Wer fällt unter das TKG 2003? (1)
Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen Kommunikationsdienst = gewerbliche Dienstleistung, Übertragung von Signalen über Kommunikationsnetze Das Datenschutzkapitel bezieht sich auch auf „Kommunikationsnetze, die Datenerfassungs- und Identifizierungssysteme unterstützen“ (z. B. Bürgerkarte, Near Field Communication) Einzelne Bestimmungen (Spam, Cookies) gelten generell für alle

32 Wer fällt unter das TKG 2003? (2)
„Teilnehmer“: eine natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen hat „Benutzer“: eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben Beispiel: Unternehmen = Teilnehmer, Mitarbeiter = Benutzer

33 Überblick DSG 2000 / TKG 2003 Datenschutzrichtlinie 95/46/EG, in Zukunft DS-Grundverordnung alle personen- bezogenen Daten alle Auftraggeber/ Betroffenen subsidiär anwendbar ePrivacy-RL 2002/58/EG idF 2009/136/EG Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten Betreiber/Teilnehmer

34 Geschützte Datenarten
Stammdaten Name, Adresse, Teilnehmernummer, Vertrag, Bonität Verkehrsdaten z. B. Rufnummern, Datum, Zeit, Dauer, Entgelte Inhaltsdaten z. B. Sprache, Fax, IP-Pakete, SMS, ... Standortdaten in Mobilnetzen teilweise sehr präzise, mobile Endgeräte verfügen nun oft über GPS im Festnetz: Adresse

35 Grundsätze Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (strenger als allgemeines Datenschutzrecht) Übermittlung nur, wenn notwendig für Diensteerbringung oder mit Zustimmung des Betroffenen Löschung der Daten so bald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn die Rechnung nicht mehr angefochten werden kann

36 Informationspflicht § 96 (3) TKG: Betreiber öffentlicher Kommunikationsdienste und Anbieter nach ECG müssen Teilnehmer/Benutzer informieren, welche personenbezogenen Daten sie ermitteln, verarbeiten, übermitteln, Rechtsgrundlage, Zweck, Dauer der Speicherung dürfen Daten nur ermitteln, wenn Teilnehmer/Benutzer eingewilligt haben, oder wenn die Daten zur Erbringung des gewünschten Dienstes, unbedingt erforderlich sind Diese Bestimmung ist umfassender als die Cookie-Regelung in Art. 5 (3) ePrivacy-RL, die sich nur auf den „Zugriff auf Informationen, die bereits im Endgerät gespeichert sind“ bezieht

37 Cookies Cookies = Daten, die im Endgerät des Benutzers gespeichert sind und an einen Diensteanbieter übermittelt werden Mögliches Tracking des Benutzers Cookies werden meist vom Browser verwaltet, aber z. B. auch vom Flash-Player Ähnliche Problematik auch bei individualisierten Links in -Newslettern

38 Cookie-Regelungen (1) Speicherung von Informationen im Endgerät des Benutzers: nur mit Zustimmung des Betroffenen (Art. 5 Abs. 3 ePrivacy-RL) Art.-29-Gruppe sagt: das heißt vorherige Zustimmung, Website-Betreiber sollen auf Opt-in-Systeme umsteigen Europäische Kommission und ENISA äußern sich weniger klar § 96 (3) TKG ist umfassender als das Europarecht

39 Cookie-Regelungen (2) Auslegung der Art.-29-Gruppe vom 07.06.2012
Sehr enge Auslegung Jede Form von Tracking über eine einzelne Session hinaus ist grundsätzlich problematisch. Session cookies sind weniger problematisch als Persistant cookies, aber auch nicht immer erlaubt Kriterium A: Cookies, die unbedingt nötig sind, um die Datenübertragung sicherzustellen, sind zulässig Beispiel: load-balancing cookie, damit der Loadbalancer alle Anfragen an den gleichen Webserver weiterleitet

40 Cookie-Regelungen (3) Kriterium B: Cookies, die unbedingt nötig sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen, sind zulässig User input cookies für mehrseitige Formulare, Warenkörbe Authentication cookies, damit man nicht bei jedem Klick Username und Passwort eingeben muss User centric security cookies, die zB fehlgeschlagene Loginversuche speichern Multimedia player session cookies im Flashplayer User interface costumisation cookies, zB Sprachauswahl

41 Plugins sozialer Netze
Art.-29-Gruppe : Cookies dürfen grundsätzlich nur bei Mitgliedern des Netzwerks verwendet werden, die dort angemeldet sind Prinzipiell nur als Session Cookie Längere Lebensdauer nur mit Zustimmung Verwendung nur für vom Nutzer gewünschte Zwecke („gefällt mir“), für andere Zwecke (Werbung, Tracking) nur mit Zustimmung

42 Literatur zu Cookies Artikel 29-Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, Juni 2010, Artikel-29-Datenschutzgruppe, Opinion 4/2012 on Cookie Consent Exemption, Juni 2012, Europäische Kommission, Implementation of the revised Framework – Article 5(3) of the ePrivacy Directive, COCOM10-34, Oktober 2010, ENISA, Bittersweet cookies. Some security and privacy considerations, Februar 2011,

43 Kommunikationsgeheimnis
§ 93 TKG 2003 schützt Inhaltsdaten, Verkehrsdaten und Standortdaten Gerichtliche Strafdrohung für Betreiber und deren Personal Mithören, Abfangen, Aufzeichnung etc. durch alle anderen als die Benutzer unzulässig zufällig aufgenommene Nachrichten müssen gelöscht werden Zivilrechtliche Klagen (Unterlassung, Schadenersatz) möglich

44 Datensicherheit Detailliertere Datensicherheitsbestimmungen in § 95, § 95a TKG neu: Erstellung und Umsetzung eines Sicherheitskonzepts, Prüfbefugnis der DSK Bei Verletzung des Schutzes personenbezogener Daten durch den Betreiber eines Kommunikationsdienstes: in jedem Fall Verständigung der DSK grundsätzlich auch Verständigung der Betroffenen, außer wenn Daten für Unbefugte verschlüsselt sind Ähnliche Bestimmung auch zu Netzsicherheit und Verfügbarkeit (§ 16a), Prüfbefugnis der RTR

45 Standortdaten Verarbeitung nur mit Zustimmung zulässig (§ 102 TKG)
Auch wenn Zustimmung erteilt wurde, muss es möglich sein, den Dienst vorübergehend abzuschalten § 96 Abs. 3 neu: Alle Anbieter von Diensten der Informationsgesellschaft müssen Zustimmung einholen, nicht bloß Betreiber von Kommunikationsnetzen Zur Flottenüberwachung: Arbeitsrecht (Betriebsvereinbarung) beachten

46 Rechnung und Einzelentgeltnachweis (EEN)
§ 100 TKG 2003 EEN ist Standard, Teilnehmer können Rechnung ohne EEN verlangen Teilnehmer können Rechnung und EEN in Papierform verlangen, unentgeltlich, kann vertraglich nicht ausgeschlossen werden Detaillierungsgrad durch EEN-V der RTR-GmbH festgelegt auch unverkürzte Form der angerufenen Nummer möglich für Unternehmen: ArbVG beachten!

47 Teilnehmerverzeichnis
§§ 18, 69, 103 TKG 2003 Von Betreibern öffentlicher Telefondienste zu führen Betreiberübergreifendes Verzeichnis taxative Aufzählung der Datenarten Nichteintragung auf Wunsch (kostenlos), neue Teilnehmer müssen gefragt werden Verbot der Auswertung der Teilnehmerdaten

48 Weitere Bestimmungen Rufnummernanzeige (§ 104 TKG 2003)
muss im Einzelfall oder dauerhaft unterdrückt werden können (kostenlos) Anrufweiterschaltung (§ 105 TKG 2003) Fangschaltung (§ 106 TKG 2003) Recht gegenüber dem Betreiber auf Feststellung der Identität eines belästigenden Anrufers

49 Unerbetene Nachrichten (allgemein)
Komplexe Regelung in § 107 TKG 2003 Verwaltungsstrafe bis zu Euro für s, bis zu Euro für Anrufe aber wenige Strafverfahren. 2012: 344 Anzeigen zu Spam- s, 59 Strafen, im Schnitt 196 Euro Umfasst sind unerbetene Anrufe, Faxe, , SMS Code of Conduct der ISPA und AGBs der Internet Service Provider sind strenger als das Gesetz

50 Unerbetene Anrufe und Faxe
Unerbetene Anrufe und Faxe zu Werbezwecken sind unzulässig Novellen des TKG und KSchG im April 2011 Höhere Verwaltungsstrafen für unerbetene Anrufe (bis zu Euro statt bis zu Euro) Unterdrückung oder Fälschung der Rufnummernanzeige strafbar (auch bei zulässigen Anrufen/Faxen!) Glücksspielverträge, die bei unerbetenen Anrufen abgeschlossen wurden, sind nichtig Rücktrittsrecht bei anderen Verträgen, die mittels unerbetener Anrufe abgeschlossen wurden (aber nicht bei allen Arten von Verträgen)

51 Unerbetene s (1) Unerbetene s (und SMS) zu Werbezwecken oder als Massensendung (mehr als 50 Empfänger) sind unzulässig (auch B2B). Ausnahme für eigene Kunden (§ 107 Abs. 3 TKG): Nur an -Adressen (Telefonnummern), die vom Absender selbst im Zuge eines Verkauf/einer Dienstleistung erhoben wurden Nur für eigene, ähnliche Produkte/Dienstleistungen In jeder Nachricht: Möglichkeit, weitere Werbung abzulehnen Vor Versand mit ECG-Liste der RTR abgleichen (§ 7 (2) ECG)

52 Unerbetene s (2) In jedem Fall (auch bei Zustimmung des Empfängers) ist unzulässig: Verheimlichen oder Verschleiern der Identität des Absenders Werbung, die nicht als solche erkennbar ist (§ 6 ECG) Links auf Websites, die gegen ECG verstoßen s ohne authentische Adresse, wo man weitere Nachrichten abbestellen kann

53 Mehrwertdienste Teilnehmernetz-betreiber Dienstenetz-betreiber
(Unternehmen) Anrufer (Mitarbeiter) Mehrwert-dienste-anbieter Vertrag

54 Mehrwertdienste – Vertragsrecht
Zwei verschiedene Verträge sind zu unterscheiden: Vertrag zwischen Teilnehmer und Teilnehmernetzbetreiber (Monatsentgelt, „normale“ Telefonate, ...) Vertrag zwischen Anrufer und Mehrwertdiensteanbieter (über den konkreten Anruf zum Mehrwertdienst, kommt stillschweigend durch das Tätigen des Anrufs zustande) Anrufer und Teilnehmer sind oft nicht identisch! Der Teilnehmer haftet nicht für den Anrufer, entsprechende Klauseln in AGB sind unwirksam Urteile: OGH , 1 Ob 244/02t; OGH , 1 Ob 114/05d

55 Mehrwertdienste – Praxis (1)
Vorbeugung von Problemen durch Sperren (durch den Netzbetreiber oder in der Telefonanlage) Einspruch gegen die Rechnung des Teilnehmernetzbetreiber Zustimmungserklärung, dass die Daten über die strittigen Telefonate an den Dienstenetzbetreiber bzw. den Mehrwertdienst übermittelt werden dürfen Teilnehmernetzbetreiber korrigiert seine Rechnung und leitet die Daten weiter Wenn keine Einigung erzielt werden kann: Streitschlichtungsverfahren bei der RTR

56 Mehrwertdienste – Praxis (2)
Allfällige Rechnung vom Mehrwertdiensteanbieter bzw. vom Dienstenetzbetreiber Mängel im Vertrag zwischen Anrufer und Mehrwertdiensteanbieter können geltend gemacht werden (z. B. Irrtum, List, Anruf durch nicht Geschäftsfähige, Verletzung regulatorischer Auflagen, ohne Bestellung gelieferte SMS-Abonnements, ...) Teilnehmer ist nicht verpflichtet, dem Mehrwertdiensteanbieter bei der Ausforschung des Anrufers zu helfen

57 Mehrwertdienste – Novelle 2011
Bestimmungen aus der TKG-Novelle 2011 RTR kann ein Verbot der Auszahlung an Mehrwertdienstanbieter verhängen (§ 24a) und Nummern sperren lassen (§ 91a) bereits mehrere Bescheide erlassen Wenn RTR Rechtsverletzungen bescheidmäßig festhält, müssen Teilnehmer nicht zahlen bzw. eine Gutschrift erhalten (§ 24a)

58 Cybercrime

59 Cybercrime-Bestimmungen
Grundsätzlich kommen im Internet dieselben Strafbestimmungen zur Anwendung wie außerhalb: z. B. Betrug, gefährliche Drohung, ... In Umsetzung der Cybercrime-Konvention des Europarates wurden im Jahr 2002 Sonderbestimmungen ins Strafgesetzbuch eingefügt

60 Strafgesetzbuch (1) § 118a StGB: Widerrechtlicher Zugriff auf ein Computersystem §§ 119, 119a StGB: Verletzung des Telekommunikationsgeheimnisses, Widerrechtliches Abfangen von Daten Eindringen in Systeme, um mitzuhören oder sich Daten zu beschaffen, die nicht für den Täter bestimmt sind Abgrenzung zum „Kommunikationsgeheimnis“: § 93 TKG betrifft Betreiber und deren Personal Täter ist nur mit Ermächtigung des Verletzten zu verfolgen

61 Strafgesetzbuch (2) § 126a: Datenbeschädigung
Der Bestimmung zur Sachbeschädigung nachgebildet § 126b: Störung der Funktionsfähigkeit eines Computersystems § 126c: Missbrauch von Computerprogrammen oder Zugangsdaten z. B. Missbrauch von Passwörtern

62 Strafgesetzbuch (3) § 148a StGB: Betrügerischer Datenverarbeitungsmissbrauch Den Strafbestimmungen zum Betrug nachgebildet.

63 Strafgesetzbuch (4) Für alle genannten Delikte gilt:
Vorsatzdelikte, meist wird sogar Absicht verlangt (Fahrlässigkeit ist nicht strafbar) Wie bei allen Vorsatzdelikten ist auch der Versuch strafbar

64 Weitere Bestimmungen § 51 DSG 2000: Datenverwendung in Gewinn- oder Schädigungsabsicht § 91 UrhG: Gerichtliche Strafe für verschiedene Eingriffe ins Urheberrecht Verbotsgesetz 1947 (z. B. § 3h) Pornographiegesetz, § 207a StGB (Kinderpornographie)

65 Wer ist strafrechtlich verantwortlich?
Grundsätzlich immer der (unmittelbare) Täter, Bestimmungstäter (Anstifter), Beitragstäter Seit 2006 auch strafrechtliche Haftung des Unternehmens für seine Dienstnehmer Strafrechtswidrige Weisungen sind vom Untergebenen abzulehnen Keine Straffreiheit, allenfalls ein Milderungsgrund

66 Verbandsverantwortlichkeits-gesetz (1)
Seit in Kraft Verband = juristische Person aber nicht, wer in Vollziehung der Gesetze handelt (vgl. Amtshaftung) Entscheidungsträger / Mitarbeiter Entscheidungsträger = Geschäftsführer, Vorstand, Prokurist, Aufsichtsrat, oder wer „sonst maßgeblichen Einfluss auf die Geschäftsführung ausübt“. Verbandsgeldbuße, unabhängig vom Strafverfahren gegen den Dienstnehmer

67 Verbandsverantwortlichkeits-gesetz (2)
Verantwortlichkeit für Straftaten eines Entscheidungsträgers Verantwortlichkeit für Straftaten eines Mitarbeiters nur dann, wenn Entscheidungsträger die Tat ermöglicht oder erleichtert haben, indem sie die gebotene Sorgfalt außer acht gelassen haben

68 Verwaltungsstrafverfahren
Grundsatz: Verwaltungsstrafrechtlich verantwortlich ist, wer zur Vertretung nach außen berufen ist § 9 (2) VStG: Es kann ein verant-wortlicher Beauftragter bestellt werden muss nachweislich zugestimmt haben muss entsprechende Anordnungsbefugnis haben

69 Auskunftpflicht an Sicherheitsbehörden und andere Stellen

70 Überblick Überwachung der Telekommunikation (StPO + TKG)
zur Aufklärung schwerer Straftaten, mit gerichtlicher Bewilligung § 53 Sicherheitspolizeigesetz Umfassende Auskunftspflicht bei Vorliegen einer „Gefahr“ Auskunft über Stammdaten § 76a StPO: Verdacht einer Straftat § 90 Abs. 6 TKG: Verdacht einer Verwaltungsübertretung § 98 Telekommunikationsgesetz (Notrufdienste) § 18 E-Commerce-Gesetz Urheberrechtsgesetz Vorratsdatenspeicherung (seit 2012)

71 Überwachung der Telekommunikation (1)
§ 134–140 StPO Aufklärung einer vorsätzlich begangenen, schweren Straftat Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen Rechtsmittel des Betroffenen Nichtigkeit bei rechtswidriger Überwachung Mitwirkungspflicht für Betreiber nach TKG und Diensteanbieter nach E-Commerce-Gesetz

72 Überwachung der Telekommunikation (2)
§ 94 TKG 2003, Überwachungsverordnung Alle Betreiber sind zur Mitwirkung an einer Überwachung im Sinne der StPO verpflichtet Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung haben Anspruch auf Kostenersatz VfGH: Betreiber haben Anspruch (G 37/02, ) Überwachungskostenverordnung: für einzelne Vorgänge Investititonskosten: 80% der Personal- und Sachaufwendungen werden vom Staat ersetzt (§ 94 TKG)

73 Seit Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.

74 Sicherheitspolizeigesetz (1)
Sicherheitsbehörden können Auskünfte von Betreibern nach TKG und Diensteanbietern nach ECG verlangen Keine gerichtliche Bewilligung erforderlich Kein Rechtsmittel für Betroffene, Information der Betroffenen nur bei Verwendung von Vorratsdaten Kein Kostenersatz für Diensteanbieter (Ausnahme: Auskunft über Standortdaten) Sicherheitsbehörde muss rechtliche Zulässigkeit gegenüber Diensteanbieter nicht nachweisen (Ausnahme: Auskunft über Standortdaten)

75 Sicherheitspolizeigesetz (2)
§ 53 Abs. 3a SPG (seit April 2012) Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses IP-Adresse zu einer bestimmten Nachricht und dem Zeitpunkt ihrer Übermittlung Name und Anschrift des Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war Name, Anschrift und Nummer des Anschlusses, der zu einem bestimmten Zeitpunkt eine bestimmte Nummer angerufen hat keine Einschränkung auf schwere Straftaten (auch nicht für Zugriff auf Vorratsdaten), es reicht, dass die Daten zur „Abwehr eines gefährlichen Angriffs“ benötigt werden, das ist auch die Vorbereitung einer Straftat VfGH B1031/ : keine Bedenken gegen Ausforschung des Nutzers einer IP-Adresse ohne richterliche Prüfung

76 Auskunft über Stammdaten
§ 76a StPO: bei Verdacht einer Straftat verpflichtet: Anbieter von Kommunikationsdiensten Ersuchen von Kriminalpolizei, Staatsanwaltschaft, Gericht umfasst auch Zugangsdaten, zB dynamische IP-Adressen § 90 Abs. 6 TKG 2003 an Verwaltungsbehörden bei Verdacht einer Verwaltungsübertretung, die über ein Telekommunikationsnetz begangen wurde auf „schriftliches und begründetes Verlangen“ § 98 TKG 2003 an Betreiber von Notrufdiensten neu: Standortdaten automatisch schon bei Rufaufbau übermittelt, Stammdaten bei Rückfrage

77 § 18 E-Commerce-Gesetz Alle Diensteanbieter müssen auf gerichtliche Anordnung hin offenlegen: alle Informationen, die zur Ermittlung eines Nutzers erforderlich sind zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen Hosting-Provider müssen auf Verlangen eines Dritten bei dessen überwiegendem rechtlichem Interesse die Identität des Nutzers offenlegen OGH 6 Ob 104/11d, : Identität = Vorname, Zuname, Postanschrift, auch -Adresse, aber nur soweit vorhanden. Keine Pflicht, eine unbekannte -Adresse auszuforschen. OGH 6 Ob 119/11k, : wenn der Provider nur die dynamische IP-Adresse kennt und sonst nichts, muss er gar nichts offenlegen Keine vergleichbare Bestimmung in Deutschland: OGH 7 Ob 189/11m, : kein Auskunftsanspruch gegen deutsche Website (Herkunftslandprinzip der E-Commerce-Richtlinie)

78 Urheberrechtsgesetz § 87b UrhG: Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen EuGH: Auch ein reiner Access-Provider ist „Vermittler“ Ein Mitgliedstaat kann eine Auskunftspflicht des Providers an private Dritte vorsehen, muss dabei aber die Richtlinien 2000/31, 2001/29, 2002/58, 2004/48 sowie die Grundrechte und die allgemeinen Grundsätze des Gemeinschaftsrechts, wie den Verhältnismäßigkeitsgrundsatz, abwägen. Promusicae, C-275/06, (Spanien) LSG/Tele2, C-557/07, (Österreich) Bonnier Audio, C-461/10, (Schweden)

79 Vorratsdatenspeicherung (1)
Bis 2012 verpflichtete keine der genannten Bestimmungen dazu, Daten auf Vorrat zu erheben oder zu speichern Im Gegenteil: Nach DSG sind Daten zu löschen, wenn sie nicht mehr für den ursprünglichen Zweck benötigt werden Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn sie nicht mehr für die Verrechnung benötigt werden Empfehlung der DSK vom : Unzulässigkeit der Speicherung von dynamischen IP-Adressen bei Flatrate (K /0005-DSK/2006), siehe auch VfGH G 31/08 vom

80 Vorratsdatenspeicherung (2)
Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen Die Richtlinie wurde in den meisten Mitgliedstaaten umgesetzt, aber in Rumänien (Okt. 2009), Deutschland (März 2010) und Tschechien (März 2011) wurde das nationale Gesetz vom Verfassungsgericht wieder aufgehoben (in Rumänien 2012 neu erlassen) Gilt nur für Betreiber von Kommunikationsnetzen oder -diensten Verkehrsdaten, keine Inhaltsdaten Umsetzung in Österreich nach mehreren Entwürfen im April/Mai 2011, trat am 1. April 2012 in Kraft

81 Vorratsdatenspeicherung (3)
Novelle des TKG (BGBl. I Nr. 27/2011) Wer hatte wann welche IP-Adresse? Zu allen Telefonaten und SMS/MMS (auch Internettelefonie): Rufnummern von Anrufer und Angerufenem, Zeit und Dauer Bei Mobiltelefonie auch Standort bei Beginn der Verbindung Zu allen s: Adressen des Absenders und Empfängers, IP-Adresse des Absenders Jeder Kontakt zum Mailserver: IP-Adresse, Zeitpunkt Ausnahmen für kleine Netzbetreiber (ca. € Umsatz) 6 Monate Speicherdauer Getrennte Speicherung, Zugang mit Vier-Augen-Prinzip Staatsanwaltschaft hat bei schweren Straftaten Zugang, Polizei fast unbeschränkt

82 Vorratsdatenspeicherung (4)
Datensicherheitsverordnung BGBl. II Nr. 402/2011 Besondere Datensicherheitsbestimmungen Separate Datenbank für Vorratsdaten Vier-Augen-Prinzip Revisionssichere Protokollierung Durchlaufstelle im Bundesrechenzentrum Elektronisches Postfachsystem Liest Inhalte nicht mit, prüft Identität der Behörden/der Netzbetreiber, erstellt Statistiken

83 Vorratsdatenspeicherung (5)
Urteil des deutschen Bundesverfassungsgerichts , 1 BvR 256/08 ua Aufhebung der deutschen Bestimmungen zur Vorratsdatenspeicherung mit sofortiger Wirkung Vorratsdatenspeicherung ist möglich, aber: Definition eines Katalogs besonders schwerwiegender Straftaten im Gesetz (konkreter Verdacht, konkrete Gefahr) Besonders strenge Datensicherheit (egal wieviel das kostet), Kosten können auf Betreiber überwälzt werden Weniger strenge Anforderungen, wenn es nur darum geht, wer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse genutzt hat.

84 Vorratsdatenspeicherung (6)
Fragen an den Europäischen Gerichtshof, ob die Richtlinie vereinbar mit der Charta der Grundrechte der EU ist irischer High Court (C-293/12) öst. Verfassungsgerichtshof im Dez (C-594/12), basierend auf einer Beschwerde von 11,139 Personen (AK Vorrat) öst. Datenschutzkommission im Jänner 2013 (C-46/13)

85 Adresse und Links Dieter Kronegger Millergasse 40/17, 1060 Wien Links zu Rechtsinformationen: