Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenverwendung im Unternehmen Dieter Kronegger 23.10.2013.

Ähnliche Präsentationen


Präsentation zum Thema: "Datenverwendung im Unternehmen Dieter Kronegger 23.10.2013."—  Präsentation transkript:

1 Datenverwendung im Unternehmen Dieter Kronegger

2 Übersicht Haftung Datenschutz im Kommunikationsrecht Cybercrime-Bestimmungen Auskunftspflichten an Sicherheitsbehörden und andere Stellen, Vorratsdatenspeicherung

3 Haftung

4 Haftung Wenn man umgangssprachlich von Haftung spricht, meint man meist das Schadenersatzrecht Aber auch andere Rechtsgebiete können gemeint sein, z. B.: –Strafrecht –Arbeitsrecht –Verwaltungsrecht (z. B. Gewerberecht)

5 Schadenersatz (Verschuldenshaftung) 1. Schaden –Vermögensschaden / ideeller Schaden 2. Verursachung (Kausalität) 3. Rechtswidrigkeit 4. Verschulden –Fahrlässigkeit / Vorsatz

6 Vermögensschaden / ideeller Schaden Vermögensschaden –tatsächliche Verringerung des Vermögens, entgangener Gewinn ideeller Schaden –vor allem Schmerzensgeld –§ 33 DSG, §§ 7ff MedienG, § 1328a ABGB: Schadenersatz für bloßstellende Eingriffe in die Privatsphäre

7 Verursachung (Kausalität) Damit jemand für einen Schaden in Anspruch genommen werden kann, muss der Schaden einem bestimmten Schädiger zugerechnet werden können Fragestellung: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte?

8 Rechtswidrigkeit Nur wenn das Verhalten des Schädigers rechtswidrig war, ist Schadenersatz zu leisten 1) Verletzung eines Schutzgesetzes, d. h. eines Gesetzes, das vor dem Eintritt von Schäden schützen soll 2) Verletzung vertraglicher Verpflichtungen

9 Verschulden (1) Vorsatz –Dem Schädiger war die Rechtswidrigkeit seines Verhaltens bewusst, er hat den schädlichen Erfolg vorhergesehen und gebilligt (auch: könnte schiefgehen, ist mir aber egal) Fahrlässigkeit –Der Schädiger hat die gehörige Sorgfalt außer Acht gelassen

10 Verschulden (2) leichte Fahrlässigkeit –ein Fehler, der gelegentlich auch einem sorgfältigen Menschen passieren kann (z.B. gelegentliche Programmierfehler) grobe Fahrlässigkeit –so sorgfaltswidrig, dass es einem ordentlichen Menschen in dieser Situation keineswegs unterlaufen würde

11 Verschulden (3) Sachverständige (auch: Gewerbetreibende) haften für die erforderlichen, nicht gewöhnlichen Kenntnisse (§ 1299 ABGB) D. h. bei der Abgrenzung zwischen leichter und grober Fahrlässigkeit gilt ein höherer Sorgfaltsmaßstab. Wer sich zu einem Gewerbe bekennt, muss auch die erforderliche Qualifikation aufweisen.

12 Allgemeines Schadenersatzrecht Haftung für eigenes Verschulden Haftung für fremdes Verschulden –Haftung für Gehilfen (Erfüllungsgehilfen § 1313a ABGB = Dienstnehmer, Subunternehmer etc.) Haftung für gefährliche Sachen –z. B. Tiere, Bauwerke, Kraftfahrzeuge, Atomkraftwerke,... –Computer sind (noch) keine gefährlichen Sachen Produkthaftung –Haftung für körperliche Sachen, z. B. Computer –Haftung nur für Tod, Körperverletzung, Sachschäden

13 Praxis Strittig ist oft: Schadenshöhe, grobe oder leichte Fahrlässigkeit, Mitverschulden des Geschädigten Beweislast: Grundsätzlich beim Kläger –Im Vertragsverhältnis Beweislastumkehr für das Verschulden: wer eine vertragliche Verpflichtung verletzt, muss beweisen, dass ihn daran kein Verschulden trifft

14 Beispiel IT-Dienstleister Beim Softwareupgrade durch einen IT-Dienstleister werden Daten zerstört Der Kunde kann Schaden, Verursachung durch den IT- Dienstleister und Rechtswidrigkeit beweisen. Der IT-Dienstleister hat zwar die Haftung für leichte Fahrlässigkeit in den AGB ausgeschlossen, aber aufgrund des höheren Sorgfaltsmaßstabs kann er nicht beweisen, dass es bloß leichte Fahrlässigkeit war. Mitverschulden des Kunden, weil Backups fehlen, daher Schadensteilung (Abwägung von Verschulden des IT- Dienstleisters und Mitverschulden des Kunden)

15 Beispiel Hacking Ein Redakteur der Zeitung Österreich versucht vom Arbeitsplatz aus, das -System der Krone zu hacken. Krone klagt auf Unterlassung. Die beiden ersten Instanzen prüfen nach Schadenersatzrecht, ob Österreich für den Redakteur als Erfüllungsgehilfen haftet. OGH (6 Ob 126/12s): Es geht um Unterlassung, also ist wie bei Besitzstörung zu prüfen. Auch der mittelbare Störer kann auf Unterlassung geklagt werden. Österreich hat Computer und IP-Adresse zur Verfügung gestellt und hätte Abhilfemöglichkeit gehabt, haftet daher.

16 Haftungsbegrenzung durch das E-Commerce-Gesetz I Durchleitung (§ 13) und Suchmaschinen (§ 14): keine Haftung, sofern –Übermittlung nicht veranlasst wird –Empfänger nicht ausgewählt wird –übermittelte Information nicht ausgewählt oder verändert wird

17 Caching (§ 15), Hosting (§ 16), Links (§ 17): keine Haftung, wenn –Anbieter keine Kenntnis von rechtswidrigen Inhalten hat, –bei Caching: Industriestandards beachtet, und –wenn er Kenntnis erlangt unverzüglich tätig wird § 18: keine Verpflichtung, aktiv zu überwachen oder aktiv nach rechtswidriger Tätigkeit zu forschen Haftungsbegrenzung durch das E-Commerce-Gesetz II

18 Haftungsbegrenzung durch das E-Commerce-Gesetz III Haftungsausschluss für Zugangsanbieter wird zunehmend untergraben –zB Internetsperren (Three-Strike-Regelung) in FR –zB Diskussion um offene WLANs in DE –zB Blockieren von Websites mit illegalen Inhalten in mehreren EU-Mitgliedstaaten Review-Diskussion auf europäischer Ebene –Jan. 2012: Europäische Kommission: keine Änderung der Richtlinie, bessere Koordination zwischen Mitgliedstaaten

19 Beispiele Forenhaftung In einem Webforum (z. B. Gästebuch) werden rechtswidrige Inhalte gepostet –z. B. kreditschädigende Äußerungen, Beschimpfungen, Markenrechtsverletzung,... Urteile zu §§ 16, 18 E-Commerce-Gesetz –Löschung unmittelbar nach Hinweis: kein Schadenersatz –verspätete Löschung nach einer Woche: Schadenersatz –keine allgemeine Überwachungspflicht des Forenbetreibers aber wenn etwas gelöscht wurde: Überwachungspflicht, dass es nicht gleich wieder hineingestellt wird (OGH 6 Ob 178/04a, ) Delfi AS gegen Estland (EGMR, ): News-Portal, das kritischen Artikel veröffentlicht, muss mit negativen Postings rechnen. Je größer die Reichweite, desto größer die Verantwortung des Betreibers. Aber es bleibt dem Betreiber überlassen, wie er das Problem beleidigender Postings löst. –Forenbetreiber muss sich das Wissen anonym und unentgeltlich tätiger Moderatoren nicht zurechnen lassen (OLG Wien 3 R 10/06x, ) Facebook: noch kein Urteil, aber wohl ähnlich zu sehen

20 Verteilung der Haftung im Unternehmen Haftung nach außen: Im Regelfall werden Schadenersatzansprüche an das Unternehmen gerichtet, nicht an die Dienstnehmer Haftung innerhalb des Unternehmens: –Geschäftsführerhaftung –Dienstnehmerhaftpflichtgesetz

21 Geschäftsführerhaftung § 84 AktG: Haftung des Vorstands gegenüber der AG –Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters § 25 GmbHG: Haftung der Geschäftsführer gegenüber der GmbH –Sorgfalt eines ordentlichen Geschäftsmannes

22 Dienstnehmerhaftpflichtgesetz Wenn ein Dienstnehmer seinem Dienstgeber einen Schaden zufügt, kann das Gericht aus Gründen der Billigkeit den Schadenersatz mäßigen oder bei einem minderen Grad des Versehens auch ganz erlassen. Für eine entschuldbare Fehlleistung haftet der Dienstnehmer nicht.

23 Zuweisung von Verantwortung innerhalb des Unternehmens Keine allgemein verbindlichen gesetzlichen Regeln Interne Organisationshandbücher (z. B. gemäß § 14 DSG 2000) Für den IT-Bereich können z. B. Standards zum IT-Sicherheitsmanagement herangezogen werden (z. B. ISO )

24 Beispiel: IT-Grundschutz (BSI) Die IT-Grundschutz-Kataloge des BSI (www.bsi.de) treffen auch Aussagen dazu, wer für welche Maßnahmen verantwortlich sein soll. Beispiele: –Erstellung einer IT-Sicherheitsleitlinie: Initiierung: Behörden/Unternehmensleitung, Umsetzung: IT- Sicherheitsmanagement-Team –Schulung zu IT-Sicherheitsmaßnahmen: Initiierung und Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement –Passwortschutz: Initiierung: Leiter IT, Umsetzung: IT- Benutzer Rollendefinitionen, z. B. für Administrator, Entwickler, IT-Betreuer, Leiter IT, Tester,...

25 Vorbeugung Orientierung an Standards zum IT- Sicherheitsmanagement Zertifizierungen von Managementsystemen oder Produkten können die eigene Haftung beschränken (keine Fahrlässigkeit) Dokumentation, um Streitfällen vorzubeugen –Dokumentation von Weisungen –Dokumentation von Problemen, Sicherheits- maßnahmen umzusetzen (z.B. fehlendes Budget)

26 Vertragliche Regelungen zur Haftung Begrenzung der Haftung –Haftungsausschlüsse in Verträgen und AGBs Dienstleistung, Risiko verschuldens- unabhängig zu übernehmen –Versicherungen, Garantien Service Level Agreements, Pönalen Beweislastregeln

27 Datenschutz im Kommunikationsrecht

28 Geltungsbereich Die meisten Vorschriften richten sich an Betreiber von Kommunikationsdiensten (Telefonie, Internet,...) Rechte von Nutzern gegenüber Kommunikationsdiensten Manche Vorschriften richten sich an alle Anbieter von Diensten der Informationsgesellschaft, z. B. Cookies, manche Informationspflichten Manche Vorschriften richten sich an Nutzer, z. B. Spamverbot

29 Rechtliche Grundlagen Fernmeldegeheimnis (Art. 10a StGG) –seit als Gegenstück zum Briefgeheimnis Telekommunikationsgesetz 2003 –BGBl. I Nr. 70/2003 (seit ) –letzte Änderung BGBl. I Nr. 96/2013 Datenschutzgesetz 2000 –BGBl. I Nr. 165/1999 (seit ) –letzte Änderung BGBl. I Nr. 83/2013

30 Europarechtliche Grundlagen Telekommunikationsrecht ist stark europarechtlich determiniert EU-Rechtsrahmen von 1997 –Liberalisierung, Ende der Monopole, Einführung unabhängiger Regulierungsbehörden EU-Rechtsrahmen von 2002 –Fünf neue Richtlinien lösten unübersichtlichen älteren Rechtsrahmen ab EU-Rechtsrahmen von 2009 –umfassende Überarbeitung dieser Richtlinien, aber keine Änderung der grundlegenden Prinzipien Derzeit: Diskussion um Telekommunikationsbinnenmarkt- Vorschlag der Europäischen Kommission

31 Wer fällt unter das TKG 2003? (1) Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen Kommunikationsdienst = gewerbliche Dienstleistung, Übertragung von Signalen über Kommunikationsnetze Das Datenschutzkapitel bezieht sich auch auf Kommunikationsnetze, die Datenerfassungs- und Identifizierungssysteme unterstützen (z. B. Bürgerkarte, Near Field Communication) Einzelne Bestimmungen (Spam, Cookies) gelten generell für alle

32 Wer fällt unter das TKG 2003? (2) Teilnehmer: eine natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen hat Benutzer: eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben Beispiel: Unternehmen = Teilnehmer, Mitarbeiter = Benutzer

33 Überblick DSG 2000 / TKG 2003 Datenschutzrichtlinie 95/46/EG, in Zukunft DS-Grundverordnung alle personen- bezogenen Daten alle Auftraggeber/ Betroffenen subsidiär anwendbar ePrivacy-RL 2002/58/EG idF 2009/136/EG Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten Betreiber/Teilnehmer

34 Geschützte Datenarten Stammdaten –Name, Adresse, Teilnehmernummer, Vertrag, Bonität Verkehrsdaten –z. B. Rufnummern, Datum, Zeit, Dauer, Entgelte Inhaltsdaten –z. B. Sprache, Fax, IP-Pakete, SMS,... Standortdaten –in Mobilnetzen teilweise sehr präzise, mobile Endgeräte verfügen nun oft über GPS –im Festnetz: Adresse

35 Grundsätze Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (strenger als allgemeines Datenschutzrecht) Übermittlung nur, wenn notwendig für Diensteerbringung oder mit Zustimmung des Betroffenen Löschung der Daten so bald wie möglich –z. B.: Verkehrsdaten sind zu löschen, wenn die Rechnung nicht mehr angefochten werden kann

36 Informationspflicht § 96 (3) TKG: Betreiber öffentlicher Kommunikationsdienste und Anbieter nach ECG –müssen Teilnehmer/Benutzer informieren, welche personenbezogenen Daten sie ermitteln, verarbeiten, übermitteln, Rechtsgrundlage, Zweck, Dauer der Speicherung –dürfen Daten nur ermitteln, wenn Teilnehmer/Benutzer eingewilligt haben, oder wenn die Daten zur Erbringung des gewünschten Dienstes, unbedingt erforderlich sind Diese Bestimmung ist umfassender als die Cookie-Regelung in Art. 5 (3) ePrivacy-RL, die sich nur auf den Zugriff auf Informationen, die bereits im Endgerät gespeichert sind bezieht

37 Cookies Cookies = Daten, die im Endgerät des Benutzers gespeichert sind und an einen Diensteanbieter übermittelt werden Mögliches Tracking des Benutzers Cookies werden meist vom Browser verwaltet, aber z. B. auch vom Flash-Player Ähnliche Problematik auch bei individualisierten Links in -Newslettern

38 Cookie-Regelungen (1) Speicherung von Informationen im Endgerät des Benutzers: nur mit Zustimmung des Betroffenen (Art. 5 Abs. 3 ePrivacy-RL ) Art.-29-Gruppe sagt: das heißt vorherige Zustimmung, Website-Betreiber sollen auf Opt-in- Systeme umsteigen Europäische Kommission und ENISA äußern sich weniger klar § 96 (3) TKG ist umfassender als das Europarecht

39 Cookie-Regelungen (2) Auslegung der Art.-29-Gruppe vom Sehr enge Auslegung –Jede Form von Tracking über eine einzelne Session hinaus ist grundsätzlich problematisch. –Session cookies sind weniger problematisch als Persistant cookies, aber auch nicht immer erlaubt Kriterium A: Cookies, die unbedingt nötig sind, um die Datenübertragung sicherzustellen, sind zulässig –Beispiel: load-balancing cookie, damit der Loadbalancer alle Anfragen an den gleichen Webserver weiterleitet

40 Cookie-Regelungen (3) Kriterium B: Cookies, die unbedingt nötig sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen, sind zulässig –User input cookies für mehrseitige Formulare, Warenkörbe –Authentication cookies, damit man nicht bei jedem Klick Username und Passwort eingeben muss –User centric security cookies, die zB fehlgeschlagene Loginversuche speichern –Multimedia player session cookies im Flashplayer –User interface costumisation cookies, zB Sprachauswahl

41 Plugins sozialer Netze Art.-29-Gruppe : –Cookies dürfen grundsätzlich nur bei Mitgliedern des Netzwerks verwendet werden, die dort angemeldet sind –Prinzipiell nur als Session Cookie –Längere Lebensdauer nur mit Zustimmung –Verwendung nur für vom Nutzer gewünschte Zwecke (gefällt mir), für andere Zwecke (Werbung, Tracking) nur mit Zustimmung

42 Literatur zu Cookies Artikel 29-Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, Juni 2010, e.pdf Artikel-29-Datenschutzgruppe, Opinion 4/2012 on Cookie Consent Exemption, Juni 2012, protection/article-29/documentation/opinion- recommendation/files/2012/wp194_de.pdf Europäische Kommission, Implementation of the revised Framework – Article 5(3) of the ePrivacy Directive, COCOM10-34, Oktober 2010, https://circabc.europa.eu/w/browse/73a499cb f28-98e5- f98b14f4590c ENISA, Bittersweet cookies. Some security and privacy considerations, Februar 2011,

43 Kommunikationsgeheimnis § 93 TKG 2003 schützt Inhaltsdaten, Verkehrsdaten und Standortdaten Gerichtliche Strafdrohung für Betreiber und deren Personal Mithören, Abfangen, Aufzeichnung etc. durch alle anderen als die Benutzer unzulässig –zufällig aufgenommene Nachrichten müssen gelöscht werden –Zivilrechtliche Klagen (Unterlassung, Schadenersatz) möglich

44 Datensicherheit Detailliertere Datensicherheitsbestimmungen in § 95, § 95a TKG neu: Erstellung und Umsetzung eines Sicherheitskonzepts, Prüfbefugnis der DSK Bei Verletzung des Schutzes personenbezogener Daten durch den Betreiber eines Kommunikationsdienstes: –in jedem Fall Verständigung der DSK –grundsätzlich auch Verständigung der Betroffenen, außer wenn Daten für Unbefugte verschlüsselt sind Ähnliche Bestimmung auch zu Netzsicherheit und Verfügbarkeit (§ 16a), Prüfbefugnis der RTR

45 Standortdaten Verarbeitung nur mit Zustimmung zulässig (§ 102 TKG) –Auch wenn Zustimmung erteilt wurde, muss es möglich sein, den Dienst vorübergehend abzuschalten § 96 Abs. 3 neu: Alle Anbieter von Diensten der Informationsgesellschaft müssen Zustimmung einholen, nicht bloß Betreiber von Kommunikationsnetzen Zur Flottenüberwachung: Arbeitsrecht (Betriebsvereinbarung) beachten

46 Rechnung und Einzelentgeltnachweis (EEN) § 100 TKG 2003 EEN ist Standard, Teilnehmer können Rechnung ohne EEN verlangen Teilnehmer können Rechnung und EEN in Papierform verlangen, unentgeltlich, kann vertraglich nicht ausgeschlossen werden Detaillierungsgrad durch EEN-V der RTR-GmbH festgelegt auch unverkürzte Form der angerufenen Nummer möglich für Unternehmen: ArbVG beachten!

47 Teilnehmerverzeichnis §§ 18, 69, 103 TKG 2003 Von Betreibern öffentlicher Telefondienste zu führen Betreiberübergreifendes Verzeichnis taxative Aufzählung der Datenarten Nichteintragung auf Wunsch (kostenlos), neue Teilnehmer müssen gefragt werden Verbot der Auswertung der Teilnehmerdaten

48 Weitere Bestimmungen Rufnummernanzeige (§ 104 TKG 2003) –muss im Einzelfall oder dauerhaft unterdrückt werden können (kostenlos) Anrufweiterschaltung (§ 105 TKG 2003) Fangschaltung (§ 106 TKG 2003) –Recht gegenüber dem Betreiber auf Feststellung der Identität eines belästigenden Anrufers

49 Unerbetene Nachrichten (allgemein) Komplexe Regelung in § 107 TKG 2003 Verwaltungsstrafe bis zu Euro für E- Mails, bis zu Euro für Anrufe –aber wenige Strafverfahren. 2012: 344 Anzeigen zu Spam- s, 59 Strafen, im Schnitt 196 Euro Umfasst sind unerbetene Anrufe, Faxe, E- Mail, SMS Code of Conduct der ISPA und AGBs der Internet Service Provider sind strenger als das Gesetz

50 Unerbetene Anrufe und Faxe Unerbetene Anrufe und Faxe zu Werbezwecken sind unzulässig Novellen des TKG und KSchG im April 2011 –Höhere Verwaltungsstrafen für unerbetene Anrufe (bis zu Euro statt bis zu Euro) –Unterdrückung oder Fälschung der Rufnummernanzeige strafbar (auch bei zulässigen Anrufen/Faxen!) –Glücksspielverträge, die bei unerbetenen Anrufen abgeschlossen wurden, sind nichtig –Rücktrittsrecht bei anderen Verträgen, die mittels unerbetener Anrufe abgeschlossen wurden (aber nicht bei allen Arten von Verträgen)

51 Unerbetene s (und SMS) zu Werbezwecken oder als Massensendung (mehr als 50 Empfänger) sind unzulässig (auch B2B). Ausnahme für eigene Kunden (§ 107 Abs. 3 TKG): –Nur an -Adressen (Telefonnummern), die vom Absender selbst im Zuge eines Verkauf/einer Dienstleistung erhoben wurden –Nur für eigene, ähnliche Produkte/Dienstleistungen –In jeder Nachricht: Möglichkeit, weitere Werbung abzulehnen –Vor Versand mit ECG-Liste der RTR abgleichen (§ 7 (2) ECG) Unerbetene s (1)

52 Unerbetene s (2) In jedem Fall (auch bei Zustimmung des Empfängers) ist unzulässig: –Verheimlichen oder Verschleiern der Identität des Absenders –Werbung, die nicht als solche erkennbar ist (§ 6 ECG) –Links auf Websites, die gegen ECG verstoßen – s ohne authentische Adresse, wo man weitere Nachrichten abbestellen kann

53 Mehrwertdienste Teilnehmernetz- betreiber Dienstenetz- betreiber Teilnehmer (Unternehmen) Anrufer (Mitarbeiter) Mehrwert- dienste- anbieter Vertrag

54 Mehrwertdienste – Vertragsrecht Zwei verschiedene Verträge sind zu unterscheiden: –Vertrag zwischen Teilnehmer und Teilnehmernetzbetreiber (Monatsentgelt, normale Telefonate,...) –Vertrag zwischen Anrufer und Mehrwertdiensteanbieter (über den konkreten Anruf zum Mehrwertdienst, kommt stillschweigend durch das Tätigen des Anrufs zustande) –Anrufer und Teilnehmer sind oft nicht identisch! Der Teilnehmer haftet nicht für den Anrufer, entsprechende Klauseln in AGB sind unwirksam Urteile: OGH , 1 Ob 244/02t; OGH , 1 Ob 114/05d

55 Mehrwertdienste – Praxis (1) Vorbeugung von Problemen durch Sperren (durch den Netzbetreiber oder in der Telefonanlage) Einspruch gegen die Rechnung des Teilnehmernetzbetreiber –Zustimmungserklärung, dass die Daten über die strittigen Telefonate an den Dienstenetzbetreiber bzw. den Mehrwertdienst übermittelt werden dürfen –Teilnehmernetzbetreiber korrigiert seine Rechnung und leitet die Daten weiter –Wenn keine Einigung erzielt werden kann: Streitschlichtungsverfahren bei der RTR

56 Mehrwertdienste – Praxis (2) Allfällige Rechnung vom Mehrwertdiensteanbieter bzw. vom Dienstenetzbetreiber –Mängel im Vertrag zwischen Anrufer und Mehrwertdiensteanbieter können geltend gemacht werden (z. B. Irrtum, List, Anruf durch nicht Geschäftsfähige, Verletzung regulatorischer Auflagen, ohne Bestellung gelieferte SMS-Abonnements,...) –Teilnehmer ist nicht verpflichtet, dem Mehrwertdiensteanbieter bei der Ausforschung des Anrufers zu helfen

57 Mehrwertdienste – Novelle 2011 Bestimmungen aus der TKG-Novelle 2011 –RTR kann ein Verbot der Auszahlung an Mehrwertdienstanbieter verhängen (§ 24a) und Nummern sperren lassen (§ 91a) bereits mehrere Bescheide erlassen –Wenn RTR Rechtsverletzungen bescheidmäßig festhält, müssen Teilnehmer nicht zahlen bzw. eine Gutschrift erhalten (§ 24a)

58 Cybercrime

59 Cybercrime-Bestimmungen Grundsätzlich kommen im Internet dieselben Strafbestimmungen zur Anwendung wie außerhalb: z. B. Betrug, gefährliche Drohung,... In Umsetzung der Cybercrime- Konvention des Europarates wurden im Jahr 2002 Sonderbestimmungen ins Strafgesetzbuch eingefügt

60 Strafgesetzbuch (1) § 118a StGB: Widerrechtlicher Zugriff auf ein Computersystem §§ 119, 119a StGB: Verletzung des Telekommunikationsgeheimnisses, Widerrechtliches Abfangen von Daten –Eindringen in Systeme, um mitzuhören oder sich Daten zu beschaffen, die nicht für den Täter bestimmt sind –Abgrenzung zum Kommunikationsgeheimnis: § 93 TKG betrifft Betreiber und deren Personal Täter ist nur mit Ermächtigung des Verletzten zu verfolgen

61 Strafgesetzbuch (2) § 126a: Datenbeschädigung –Der Bestimmung zur Sachbeschädigung nachgebildet § 126b: Störung der Funktionsfähigkeit eines Computersystems § 126c: Missbrauch von Computerprogrammen oder Zugangsdaten –z. B. Missbrauch von Passwörtern

62 Strafgesetzbuch (3) § 148a StGB: Betrügerischer Datenverarbeitungsmissbrauch –Den Strafbestimmungen zum Betrug nachgebildet.

63 Strafgesetzbuch (4) Für alle genannten Delikte gilt: –Vorsatzdelikte, meist wird sogar Absicht verlangt (Fahrlässigkeit ist nicht strafbar) –Wie bei allen Vorsatzdelikten ist auch der Versuch strafbar

64 Weitere Bestimmungen § 51 DSG 2000: Datenverwendung in Gewinn- oder Schädigungsabsicht § 91 UrhG: Gerichtliche Strafe für verschiedene Eingriffe ins Urheberrecht Verbotsgesetz 1947 (z. B. § 3h) Pornographiegesetz, § 207a StGB (Kinderpornographie)

65 Wer ist strafrechtlich verantwortlich? Grundsätzlich immer der (unmittelbare) Täter, Bestimmungstäter (Anstifter), Beitragstäter Seit 2006 auch strafrechtliche Haftung des Unternehmens für seine Dienstnehmer Strafrechtswidrige Weisungen sind vom Untergebenen abzulehnen –Keine Straffreiheit, allenfalls ein Milderungsgrund

66 Verbandsverantwortlichkeits- gesetz (1) Seit in Kraft Verband = juristische Person –aber nicht, wer in Vollziehung der Gesetze handelt (vgl. Amtshaftung) Entscheidungsträger / Mitarbeiter –Entscheidungsträger = Geschäftsführer, Vorstand, Prokurist, Aufsichtsrat, oder wer sonst maßgeblichen Einfluss auf die Geschäftsführung ausübt. Verbandsgeldbuße, unabhängig vom Strafverfahren gegen den Dienstnehmer

67 Verbandsverantwortlichkeits- gesetz (2) Verantwortlichkeit für Straftaten eines Entscheidungsträgers Verantwortlichkeit für Straftaten eines Mitarbeiters nur dann, wenn Entscheidungsträger die Tat ermöglicht oder erleichtert haben, indem sie die gebotene Sorgfalt außer acht gelassen haben

68 Verwaltungsstrafverfahren Grundsatz: Verwaltungsstrafrechtlich verantwortlich ist, wer zur Vertretung nach außen berufen ist § 9 (2) VStG: Es kann ein verant- wortlicher Beauftragter bestellt werden –muss nachweislich zugestimmt haben –muss entsprechende Anordnungsbefugnis haben

69 Auskunftpflicht an Sicherheitsbehörden und andere Stellen

70 Überblick Überwachung der Telekommunikation (StPO + TKG) –zur Aufklärung schwerer Straftaten, mit gerichtlicher Bewilligung § 53 Sicherheitspolizeigesetz –Umfassende Auskunftspflicht bei Vorliegen einer Gefahr Auskunft über Stammdaten –§ 76a StPO: Verdacht einer Straftat –§ 90 Abs. 6 TKG: Verdacht einer Verwaltungsübertretung § 98 Telekommunikationsgesetz (Notrufdienste) § 18 E-Commerce-Gesetz Urheberrechtsgesetz Vorratsdatenspeicherung (seit 2012)

71 Überwachung der Telekommunikation (1) § 134–140 StPO –Aufklärung einer vorsätzlich begangenen, schweren Straftat –Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen –Rechtsmittel des Betroffenen –Nichtigkeit bei rechtswidriger Überwachung Mitwirkungspflicht für Betreiber nach TKG und Diensteanbieter nach E-Commerce- Gesetz

72 Überwachung der Telekommunikation (2) § 94 TKG 2003, Überwachungsverordnung Alle Betreiber sind zur Mitwirkung an einer Überwachung im Sinne der StPO verpflichtet Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung haben Anspruch auf Kostenersatz –VfGH: Betreiber haben Anspruch (G 37/02, ) –Überwachungskostenverordnung: für einzelne Vorgänge –Investititonskosten: 80% der Personal- und Sachaufwendungen werden vom Staat ersetzt (§ 94 TKG)

73 Seit Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von Nachrichten (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.

74 Sicherheitspolizeigesetz (1) Sicherheitsbehörden können Auskünfte von Betreibern nach TKG und Diensteanbietern nach ECG verlangen Keine gerichtliche Bewilligung erforderlich Kein Rechtsmittel für Betroffene, Information der Betroffenen nur bei Verwendung von Vorratsdaten Kein Kostenersatz für Diensteanbieter (Ausnahme: Auskunft über Standortdaten) Sicherheitsbehörde muss rechtliche Zulässigkeit gegenüber Diensteanbieter nicht nachweisen (Ausnahme: Auskunft über Standortdaten)

75 Sicherheitspolizeigesetz (2) § 53 Abs. 3a SPG (seit April 2012) –Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses –IP-Adresse zu einer bestimmten Nachricht und dem Zeitpunkt ihrer Übermittlung –Name und Anschrift des Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war –Name, Anschrift und Nummer des Anschlusses, der zu einem bestimmten Zeitpunkt eine bestimmte Nummer angerufen hat keine Einschränkung auf schwere Straftaten (auch nicht für Zugriff auf Vorratsdaten), es reicht, dass die Daten zur Abwehr eines gefährlichen Angriffs benötigt werden, das ist auch die Vorbereitung einer Straftat VfGH B1031/ : keine Bedenken gegen Ausforschung des Nutzers einer IP-Adresse ohne richterliche Prüfung

76 Auskunft über Stammdaten § 76a StPO: bei Verdacht einer Straftat –verpflichtet: Anbieter von Kommunikationsdiensten –Ersuchen von Kriminalpolizei, Staatsanwaltschaft, Gericht –umfasst auch Zugangsdaten, zB dynamische IP-Adressen § 90 Abs. 6 TKG 2003 –an Verwaltungsbehörden bei Verdacht einer Verwaltungsübertretung, die über ein Telekommunikationsnetz begangen wurde –auf schriftliches und begründetes Verlangen § 98 TKG 2003 –an Betreiber von Notrufdiensten –neu: Standortdaten automatisch schon bei Rufaufbau übermittelt, Stammdaten bei Rückfrage

77 § 18 E-Commerce-Gesetz Alle Diensteanbieter müssen auf gerichtliche Anordnung hin offenlegen: –alle Informationen, die zur Ermittlung eines Nutzers erforderlich sind –zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen Hosting-Provider müssen auf Verlangen eines Dritten bei dessen überwiegendem rechtlichem Interesse die Identität des Nutzers offenlegen –OGH 6 Ob 104/11d, : Identität = Vorname, Zuname, Postanschrift, auch E- Mail-Adresse, aber nur soweit vorhanden. Keine Pflicht, eine unbekannte - Adresse auszuforschen. –OGH 6 Ob 119/11k, : wenn der Provider nur die dynamische IP-Adresse kennt und sonst nichts, muss er gar nichts offenlegen –Keine vergleichbare Bestimmung in Deutschland: OGH 7 Ob 189/11m, : kein Auskunftsanspruch gegen deutsche Website (Herkunftslandprinzip der E- Commerce-Richtlinie)

78 Urheberrechtsgesetz § 87b UrhG: Wer in seinem Urheberrecht verletzt wurde, kann vom Vermittler Auskunft zur Identität des Verletzers verlangen EuGH: –Auch ein reiner Access-Provider ist Vermittler –Ein Mitgliedstaat kann eine Auskunftspflicht des Providers an private Dritte vorsehen, muss dabei aber die Richtlinien 2000/31, 2001/29, 2002/58, 2004/48 sowie die Grundrechte und die allgemeinen Grundsätze des Gemeinschaftsrechts, wie den Verhältnismäßigkeitsgrundsatz, abwägen. –Promusicae, C-275/06, (Spanien) –LSG/Tele2, C-557/07, (Österreich) –Bonnier Audio, C-461/10, (Schweden)

79 Vorratsdatenspeicherung (1) Bis 2012 verpflichtete keine der genannten Bestimmungen dazu, Daten auf Vorrat zu erheben oder zu speichern Im Gegenteil: –Nach DSG sind Daten zu löschen, wenn sie nicht mehr für den ursprünglichen Zweck benötigt werden –Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn sie nicht mehr für die Verrechnung benötigt werden –Empfehlung der DSK vom : Unzulässigkeit der Speicherung von dynamischen IP-Adressen bei Flatrate (K /0005-DSK/2006), siehe auch VfGH G 31/08 vom

80 Vorratsdatenspeicherung (2) Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen –Die Richtlinie wurde in den meisten Mitgliedstaaten umgesetzt, aber in Rumänien (Okt. 2009), Deutschland (März 2010) und Tschechien (März 2011) wurde das nationale Gesetz vom Verfassungsgericht wieder aufgehoben (in Rumänien 2012 neu erlassen) Gilt nur für Betreiber von Kommunikationsnetzen oder -diensten Verkehrsdaten, keine Inhaltsdaten Umsetzung in Österreich nach mehreren Entwürfen im April/Mai 2011, trat am 1. April 2012 in Kraft

81 Vorratsdatenspeicherung (3) Novelle des TKG (BGBl. I Nr. 27/2011) –Wer hatte wann welche IP-Adresse? –Zu allen Telefonaten und SMS/MMS (auch Internettelefonie): Rufnummern von Anrufer und Angerufenem, Zeit und Dauer –Bei Mobiltelefonie auch Standort bei Beginn der Verbindung –Zu allen s: Adressen des Absenders und Empfängers, IP-Adresse des Absenders –Jeder Kontakt zum Mailserver: IP-Adresse, Zeitpunkt –Ausnahmen für kleine Netzbetreiber (ca Umsatz) –6 Monate Speicherdauer –Getrennte Speicherung, Zugang mit Vier-Augen-Prinzip –Staatsanwaltschaft hat bei schweren Straftaten Zugang, Polizei fast unbeschränkt

82 Vorratsdatenspeicherung (4) Datensicherheitsverordnung –BGBl. II Nr. 402/2011 Besondere Datensicherheitsbestimmungen –Separate Datenbank für Vorratsdaten –Vier-Augen-Prinzip –Revisionssichere Protokollierung Durchlaufstelle im Bundesrechenzentrum –Elektronisches Postfachsystem –Liest Inhalte nicht mit, prüft Identität der Behörden/der Netzbetreiber, erstellt Statistiken

83 Vorratsdatenspeicherung (5) Urteil des deutschen Bundesverfassungsgerichts – , 1 BvR 256/08 ua –Aufhebung der deutschen Bestimmungen zur Vorratsdatenspeicherung mit sofortiger Wirkung Vorratsdatenspeicherung ist möglich, aber: –Definition eines Katalogs besonders schwerwiegender Straftaten im Gesetz (konkreter Verdacht, konkrete Gefahr) –Besonders strenge Datensicherheit (egal wieviel das kostet), Kosten können auf Betreiber überwälzt werden –Weniger strenge Anforderungen, wenn es nur darum geht, wer zu einem bestimmten Zeitpunkt eine bestimmte IP- Adresse genutzt hat.

84 Vorratsdatenspeicherung (6) Fragen an den Europäischen Gerichtshof, ob die Richtlinie vereinbar mit der Charta der Grundrechte der EU ist –irischer High Court (C-293/12) –öst. Verfassungsgerichtshof im Dez (C-594/12), basierend auf einer Beschwerde von 11,139 Personen (AK Vorrat) –öst. Datenschutzkommission im Jänner 2013 (C-46/13)

85 Adresse und Links Dieter Kronegger Millergasse 40/17, 1060 Wien Links zu Rechtsinformationen:


Herunterladen ppt "Datenverwendung im Unternehmen Dieter Kronegger 23.10.2013."

Ähnliche Präsentationen


Google-Anzeigen