Datenverwendung im Unternehmen Dieter Kronegger 23.10.2013 1

Übersicht Haftung Datenschutz im Kommunikationsrecht Cybercrime-Bestimmungen Auskunftspflichten an Sicherheitsbehörden und andere Stellen, Vorratsdatenspeicherung 23.10.2013

Haftung 23.10.2013

Haftung Wenn man umgangssprachlich von „Haftung“ spricht, meint man meist das Schadenersatzrecht Aber auch andere Rechtsgebiete können gemeint sein, z. B.: Strafrecht Arbeitsrecht Verwaltungsrecht (z. B. Gewerberecht) 23.10.2013

Schadenersatz (Verschuldenshaftung) Vermögensschaden / ideeller Schaden 2. Verursachung (Kausalität) 3. Rechtswidrigkeit 4. Verschulden Fahrlässigkeit / Vorsatz 23.10.2013

1. Vermögensschaden / ideeller Schaden tatsächliche Verringerung des Vermögens, entgangener Gewinn ideeller Schaden vor allem Schmerzensgeld § 33 DSG, §§ 7ff MedienG, § 1328a ABGB: Schadenersatz für bloßstellende Eingriffe in die Privatsphäre 23.10.2013

2. Verursachung (Kausalität) Damit jemand für einen Schaden in Anspruch genommen werden kann, muss der Schaden einem bestimmten Schädiger zugerechnet werden können Fragestellung: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte? 23.10.2013

3. Rechtswidrigkeit Nur wenn das Verhalten des Schädigers rechtswidrig war, ist Schadenersatz zu leisten 1) Verletzung eines „Schutzgesetzes“, d. h. eines Gesetzes, das vor dem Eintritt von Schäden schützen soll 2) Verletzung vertraglicher Verpflichtungen 23.10.2013

4. Verschulden (1) Vorsatz Fahrlässigkeit Dem Schädiger war die Rechtswidrigkeit seines Verhaltens bewusst, er hat den schädlichen Erfolg vorhergesehen und gebilligt (auch: „könnte schiefgehen, ist mir aber egal“) Fahrlässigkeit Der Schädiger hat die gehörige Sorgfalt außer Acht gelassen 23.10.2013

4. Verschulden (2) leichte Fahrlässigkeit grobe Fahrlässigkeit ein Fehler, der gelegentlich auch einem sorgfältigen Menschen passieren kann (z.B. gelegentliche Programmierfehler) grobe Fahrlässigkeit so sorgfaltswidrig, dass es einem ordentlichen Menschen in dieser Situation keineswegs unterlaufen würde 23.10.2013

4. Verschulden (3) Sachverständige (auch: Gewerbetreibende) haften für die „erforderlichen, nicht gewöhnlichen“ Kenntnisse (§ 1299 ABGB) D. h. bei der Abgrenzung zwischen leichter und grober Fahrlässigkeit gilt ein höherer Sorgfaltsmaßstab. Wer sich zu einem Gewerbe bekennt, muss auch die erforderliche Qualifikation aufweisen. 23.10.2013

Allgemeines Schadenersatzrecht Haftung für eigenes Verschulden Haftung für fremdes Verschulden Haftung für Gehilfen (Erfüllungsgehilfen § 1313a ABGB = Dienstnehmer, Subunternehmer etc.) Haftung für gefährliche Sachen z. B. Tiere, Bauwerke, Kraftfahrzeuge, Atomkraftwerke, ... Computer sind (noch) keine gefährlichen Sachen Produkthaftung Haftung für körperliche Sachen, z. B. Computer Haftung nur für Tod, Körperverletzung, Sachschäden 23.10.2013

Praxis Strittig ist oft: Schadenshöhe, grobe oder leichte Fahrlässigkeit, Mitverschulden des Geschädigten Beweislast: Grundsätzlich beim Kläger Im Vertragsverhältnis Beweislastumkehr für das Verschulden: wer eine vertragliche Verpflichtung verletzt, muss beweisen, dass ihn daran kein Verschulden trifft 23.10.2013

Beispiel IT-Dienstleister Beim Softwareupgrade durch einen IT-Dienstleister werden Daten zerstört Der Kunde kann Schaden, Verursachung durch den IT-Dienstleister und Rechtswidrigkeit beweisen. Der IT-Dienstleister hat zwar die Haftung für leichte Fahrlässigkeit in den AGB ausgeschlossen, aber aufgrund des höheren Sorgfaltsmaßstabs kann er nicht beweisen, dass es bloß leichte Fahrlässigkeit war. Mitverschulden des Kunden, weil Backups fehlen, daher Schadensteilung (Abwägung von Verschulden des IT-Dienstleisters und Mitverschulden des Kunden) 23.10.2013

Beispiel Hacking Ein Redakteur der Zeitung „Österreich“ versucht vom Arbeitsplatz aus, das E-Mail-System der „Krone“ zu hacken. „Krone“ klagt auf Unterlassung. Die beiden ersten Instanzen prüfen nach Schadenersatzrecht, ob „Österreich“ für den Redakteur als „Erfüllungsgehilfen“ haftet. OGH (6 Ob 126/12s): Es geht um Unterlassung, also ist wie bei Besitzstörung zu prüfen. Auch der „mittelbare Störer“ kann auf Unterlassung geklagt werden. „Österreich“ hat Computer und IP-Adresse zur Verfügung gestellt und hätte Abhilfemöglichkeit gehabt , haftet daher. 23.10.2013

Haftungsbegrenzung durch das E-Commerce-Gesetz I „Durchleitung“ (§ 13) und Suchmaschinen (§ 14): keine Haftung, sofern Übermittlung nicht veranlasst wird Empfänger nicht ausgewählt wird übermittelte Information nicht ausgewählt oder verändert wird 23.10.2013

Haftungsbegrenzung durch das E-Commerce-Gesetz II „Caching“ (§ 15), „Hosting“ (§ 16), Links (§ 17): keine Haftung, wenn Anbieter keine Kenntnis von rechtswidrigen Inhalten hat, bei Caching: Industriestandards beachtet, und wenn er Kenntnis erlangt unverzüglich tätig wird § 18: keine Verpflichtung, aktiv zu überwachen oder aktiv nach rechtswidriger Tätigkeit zu forschen 23.10.2013

Haftungsbegrenzung durch das E-Commerce-Gesetz III Haftungsausschluss für Zugangsanbieter wird zunehmend untergraben zB Internetsperren (Three-Strike-Regelung) in FR zB Diskussion um offene WLANs in DE zB Blockieren von Websites mit illegalen Inhalten in mehreren EU-Mitgliedstaaten Review-Diskussion auf europäischer Ebene Jan. 2012: Europäische Kommission: keine Änderung der Richtlinie, bessere Koordination zwischen Mitgliedstaaten 23.10.2013

Beispiele Forenhaftung In einem Webforum (z. B. „Gästebuch“) werden rechtswidrige Inhalte gepostet z. B. kreditschädigende Äußerungen, Beschimpfungen, Markenrechtsverletzung, ... Urteile zu §§ 16, 18 E-Commerce-Gesetz Löschung unmittelbar nach Hinweis: kein Schadenersatz verspätete Löschung nach einer Woche: Schadenersatz keine allgemeine Überwachungspflicht des Forenbetreibers aber wenn etwas gelöscht wurde: Überwachungspflicht, dass es nicht gleich wieder hineingestellt wird (OGH 6 Ob 178/04a, 21.12.2006) Delfi AS gegen Estland (EGMR, 10.10.2013): News-Portal, das kritischen Artikel veröffentlicht, muss mit negativen Postings rechnen. Je größer die Reichweite, desto größer die Verantwortung des Betreibers. Aber es bleibt dem Betreiber überlassen, wie er das Problem beleidigender Postings löst. Forenbetreiber muss sich das Wissen anonym und unentgeltlich tätiger Moderatoren nicht zurechnen lassen (OLG Wien 3 R 10/06x, 03.08.2006) Facebook: noch kein Urteil, aber wohl ähnlich zu sehen 23.10.2013

Verteilung der Haftung im Unternehmen Haftung nach außen: Im Regelfall werden Schadenersatzansprüche an das Unternehmen gerichtet, nicht an die Dienstnehmer Haftung innerhalb des Unternehmens: Geschäftsführerhaftung Dienstnehmerhaftpflichtgesetz 23.10.2013

Geschäftsführerhaftung § 84 AktG: Haftung des Vorstands gegenüber der AG „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ § 25 GmbHG: Haftung der Geschäftsführer gegenüber der GmbH „Sorgfalt eines ordentlichen Geschäftsmannes“ 23.10.2013

Dienstnehmerhaftpflichtgesetz Wenn ein Dienstnehmer seinem Dienstgeber einen Schaden zufügt, kann das Gericht aus Gründen der Billigkeit den Schadenersatz mäßigen oder bei einem „minderen Grad des Versehens“ auch ganz erlassen. Für eine „entschuldbare Fehlleistung“ haftet der Dienstnehmer nicht. 23.10.2013

Zuweisung von Verantwortung innerhalb des Unternehmens Keine allgemein verbindlichen gesetzlichen Regeln Interne Organisationshandbücher (z. B. gemäß § 14 DSG 2000) Für den IT-Bereich können z. B. Standards zum IT-Sicherheitsmanagement herangezogen werden (z. B. ISO 27001) 23.10.2013

Beispiel: IT-Grundschutz (BSI) Die IT-Grundschutz-Kataloge des BSI (www.bsi.de) treffen auch Aussagen dazu, wer für welche Maßnahmen verantwortlich sein soll. Beispiele: Erstellung einer IT-Sicherheitsleitlinie: Initiierung: Behörden/Unternehmensleitung, Umsetzung: IT-Sicherheitsmanagement-Team Schulung zu IT-Sicherheitsmaßnahmen: Initiierung und Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement Passwortschutz: Initiierung: Leiter IT, Umsetzung: IT-Benutzer Rollendefinitionen, z. B. für „Administrator“, „Entwickler“, „IT-Betreuer“, „Leiter IT“, „Tester“, ... 23.10.2013

Vorbeugung Orientierung an Standards zum IT-Sicherheitsmanagement Zertifizierungen von Managementsystemen oder Produkten können die eigene Haftung beschränken (keine Fahrlässigkeit) Dokumentation, um Streitfällen vorzubeugen Dokumentation von Weisungen Dokumentation von Problemen, Sicherheits-maßnahmen umzusetzen (z.B. fehlendes Budget) 23.10.2013

Vertragliche Regelungen zur Haftung Begrenzung der Haftung Haftungsausschlüsse in Verträgen und AGBs Dienstleistung, Risiko verschuldens-unabhängig zu übernehmen Versicherungen, Garantien Service Level Agreements, Pönalen Beweislastregeln 23.10.2013

Datenschutz im Kommunikationsrecht 23.10.2013

Geltungsbereich Die meisten Vorschriften richten sich an Betreiber von Kommunikationsdiensten (Telefonie, Internet, ...) Rechte von Nutzern gegenüber Kommunikationsdiensten Manche Vorschriften richten sich an alle Anbieter von Diensten der Informationsgesellschaft, z. B. Cookies, manche Informationspflichten Manche Vorschriften richten sich an Nutzer, z. B. Spamverbot 23.10.2013

Rechtliche Grundlagen Fernmeldegeheimnis (Art. 10a StGG) seit 01.01.1975 als Gegenstück zum Briefgeheimnis Telekommunikationsgesetz 2003 BGBl. I Nr. 70/2003 (seit 20.08.2003) letzte Änderung BGBl. I Nr. 96/2013 Datenschutzgesetz 2000 BGBl. I Nr. 165/1999 (seit 01.01.2000) letzte Änderung BGBl. I Nr. 83/2013 23.10.2013

Europarechtliche Grundlagen Telekommunikationsrecht ist stark europarechtlich determiniert EU-Rechtsrahmen von 1997 Liberalisierung, Ende der Monopole, Einführung unabhängiger Regulierungsbehörden EU-Rechtsrahmen von 2002 Fünf neue Richtlinien lösten unübersichtlichen älteren Rechtsrahmen ab EU-Rechtsrahmen von 2009 umfassende Überarbeitung dieser Richtlinien, aber keine Änderung der grundlegenden Prinzipien Derzeit: Diskussion um „Telekommunikationsbinnenmarkt“-Vorschlag der Europäischen Kommission Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 33, in der Fassung der Richtlinie 2009/140/EG, ABl. Nr. L 337 vom 18.12.2009, S. 37 Richtlinie 2002/19/EG über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung (Zugangsrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 7, in der Fassung der Richtlinie 2009/140/EG, ABl. Nr. L 337 vom 18.12.2009, S. 37 Richtlinie 2002/20/EG über die Genehmigung elektronischer Kommunikationsnetze und -dienste (Genehmigungsrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 21, in der Fassung der Richtlinie 2009/140/EG, ABl. Nr. L 337 vom 18.12.2009, S. 37 Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie), ABl. Nr. L 108 vom 24. April 2002, S 51, in der Fassung der Richtlinie 2009/136/EG, ABl. Nr. L 337 vom 18.12.2009, S. 11 Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation, ePrivacy-Richtlinie), ABl. Nr. L 201 vom 31. Juli 2002, S 37, in der Fassung der Richtlinie 2009/136/EG, ABl. Nr. L 337 vom 18.12.2009, S. 11 Richtlinie 2002/77/EG über den Wettbewerb auf den Märkten für elektronische Kommunikationsnetze und -dienste, ABl. Nr. L 249 vom 19.9.2002, S. 21 Entscheidung 676/2002/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen Rechtsrahmen für die Funkfrequenzpolitik in der Europäischen Gemeinschaft (Frequenzentscheidung), ABl. Nr. L 108 vom 24.4.2002, S. 1 Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG, ABl. Nr. L 105 vom 13. April 2006, S 54 Verordnung (EG) 717/2007 des Europäischen Parlaments und des Rates vom 27. Juni 2007 über das Roaming in öffentlichen Mobilfunknetzen in der Gemeinschaft und zur Änderung der Richtlinie, ABl. Nr. L 171 vom 29.6.2007, S. 32, in der Fassung der Verordnung (EG) 544/2009, ABl. L 16 vom 29.6.2009, S. 12 und der Verordnung (EU) 531/2012, ABl. L 172 vom 30.6.2012 23.10.2013

Wer fällt unter das TKG 2003? (1) Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen Kommunikationsdienst = gewerbliche Dienstleistung, Übertragung von Signalen über Kommunikationsnetze Das Datenschutzkapitel bezieht sich auch auf „Kommunikationsnetze, die Datenerfassungs- und Identifizierungssysteme unterstützen“ (z. B. Bürgerkarte, Near Field Communication) Einzelne Bestimmungen (Spam, Cookies) gelten generell für alle 23.10.2013

Wer fällt unter das TKG 2003? (2) „Teilnehmer“: eine natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen hat „Benutzer“: eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben Beispiel: Unternehmen = Teilnehmer, Mitarbeiter = Benutzer 23.10.2013

Überblick DSG 2000 / TKG 2003 Datenschutzrichtlinie 95/46/EG, in Zukunft DS-Grundverordnung alle personen- bezogenen Daten alle Auftraggeber/ Betroffenen subsidiär anwendbar ePrivacy-RL 2002/58/EG idF 2009/136/EG Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten Betreiber/Teilnehmer 23.10.2013

Geschützte Datenarten Stammdaten Name, Adresse, Teilnehmernummer, Vertrag, Bonität Verkehrsdaten z. B. Rufnummern, Datum, Zeit, Dauer, Entgelte Inhaltsdaten z. B. Sprache, Fax, IP-Pakete, SMS, ... Standortdaten in Mobilnetzen teilweise sehr präzise, mobile Endgeräte verfügen nun oft über GPS im Festnetz: Adresse 23.10.2013

Grundsätze Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (strenger als allgemeines Datenschutzrecht) Übermittlung nur, wenn notwendig für Diensteerbringung oder mit Zustimmung des Betroffenen Löschung der Daten so bald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn die Rechnung nicht mehr angefochten werden kann 23.10.2013

Informationspflicht § 96 (3) TKG: Betreiber öffentlicher Kommunikationsdienste und Anbieter nach ECG müssen Teilnehmer/Benutzer informieren, welche personenbezogenen Daten sie ermitteln, verarbeiten, übermitteln, Rechtsgrundlage, Zweck, Dauer der Speicherung dürfen Daten nur ermitteln, wenn Teilnehmer/Benutzer eingewilligt haben, oder wenn die Daten zur Erbringung des gewünschten Dienstes, unbedingt erforderlich sind Diese Bestimmung ist umfassender als die Cookie-Regelung in Art. 5 (3) ePrivacy-RL, die sich nur auf den „Zugriff auf Informationen, die bereits im Endgerät gespeichert sind“ bezieht 23.10.2013

Cookies Cookies = Daten, die im Endgerät des Benutzers gespeichert sind und an einen Diensteanbieter übermittelt werden Mögliches Tracking des Benutzers Cookies werden meist vom Browser verwaltet, aber z. B. auch vom Flash-Player Ähnliche Problematik auch bei individualisierten Links in E-Mail-Newslettern 23.10.2013

Cookie-Regelungen (1) Speicherung von Informationen im Endgerät des Benutzers: nur mit Zustimmung des Betroffenen (Art. 5 Abs. 3 ePrivacy-RL) Art.-29-Gruppe sagt: das heißt vorherige Zustimmung, Website-Betreiber sollen auf Opt-in-Systeme umsteigen Europäische Kommission und ENISA äußern sich weniger klar § 96 (3) TKG ist umfassender als das Europarecht 23.10.2013

Cookie-Regelungen (2) Auslegung der Art.-29-Gruppe vom 07.06.2012 Sehr enge Auslegung Jede Form von Tracking über eine einzelne Session hinaus ist grundsätzlich problematisch. Session cookies sind weniger problematisch als Persistant cookies, aber auch nicht immer erlaubt Kriterium A: Cookies, die unbedingt nötig sind, um die Datenübertragung sicherzustellen, sind zulässig Beispiel: load-balancing cookie, damit der Loadbalancer alle Anfragen an den gleichen Webserver weiterleitet 23.10.2013

Cookie-Regelungen (3) Kriterium B: Cookies, die unbedingt nötig sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen, sind zulässig User input cookies für mehrseitige Formulare, Warenkörbe Authentication cookies, damit man nicht bei jedem Klick Username und Passwort eingeben muss User centric security cookies, die zB fehlgeschlagene Loginversuche speichern Multimedia player session cookies im Flashplayer User interface costumisation cookies, zB Sprachauswahl 23.10.2013

Plugins sozialer Netze Art.-29-Gruppe 07.06.2012: Cookies dürfen grundsätzlich nur bei Mitgliedern des Netzwerks verwendet werden, die dort angemeldet sind Prinzipiell nur als Session Cookie Längere Lebensdauer nur mit Zustimmung Verwendung nur für vom Nutzer gewünschte Zwecke („gefällt mir“), für andere Zwecke (Werbung, Tracking) nur mit Zustimmung 23.10.2013

Literatur zu Cookies Artikel 29-Datenschutzgruppe, Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting, Juni 2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_de.pdf Artikel-29-Datenschutzgruppe, Opinion 4/2012 on Cookie Consent Exemption, Juni 2012, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_de.pdf Europäische Kommission, Implementation of the revised Framework – Article 5(3) of the ePrivacy Directive, COCOM10-34, Oktober 2010, https://circabc.europa.eu/w/browse/73a499cb-1105-4f28-98e5-f98b14f4590c ENISA, Bittersweet cookies. Some security and privacy considerations, Februar 2011, http://www.enisa.europa.eu/act/it/library/pp/cookies/ 23.10.2013

Kommunikationsgeheimnis § 93 TKG 2003 schützt Inhaltsdaten, Verkehrsdaten und Standortdaten Gerichtliche Strafdrohung für Betreiber und deren Personal Mithören, Abfangen, Aufzeichnung etc. durch alle anderen als die Benutzer unzulässig zufällig aufgenommene Nachrichten müssen gelöscht werden Zivilrechtliche Klagen (Unterlassung, Schadenersatz) möglich 23.10.2013

Datensicherheit Detailliertere Datensicherheitsbestimmungen in § 95, § 95a TKG neu: Erstellung und Umsetzung eines Sicherheitskonzepts, Prüfbefugnis der DSK Bei Verletzung des Schutzes personenbezogener Daten durch den Betreiber eines Kommunikationsdienstes: in jedem Fall Verständigung der DSK grundsätzlich auch Verständigung der Betroffenen, außer wenn Daten für Unbefugte verschlüsselt sind Ähnliche Bestimmung auch zu Netzsicherheit und Verfügbarkeit (§ 16a), Prüfbefugnis der RTR 23.10.2013

Standortdaten Verarbeitung nur mit Zustimmung zulässig (§ 102 TKG) Auch wenn Zustimmung erteilt wurde, muss es möglich sein, den Dienst vorübergehend abzuschalten § 96 Abs. 3 neu: Alle Anbieter von Diensten der Informationsgesellschaft müssen Zustimmung einholen, nicht bloß Betreiber von Kommunikationsnetzen Zur Flottenüberwachung: Arbeitsrecht (Betriebsvereinbarung) beachten 23.10.2013

Rechnung und Einzelentgeltnachweis (EEN) § 100 TKG 2003 EEN ist Standard, Teilnehmer können Rechnung ohne EEN verlangen Teilnehmer können Rechnung und EEN in Papierform verlangen, unentgeltlich, kann vertraglich nicht ausgeschlossen werden Detaillierungsgrad durch EEN-V der RTR-GmbH festgelegt auch unverkürzte Form der angerufenen Nummer möglich für Unternehmen: ArbVG beachten! 23.10.2013

Teilnehmerverzeichnis §§ 18, 69, 103 TKG 2003 Von Betreibern öffentlicher Telefondienste zu führen Betreiberübergreifendes Verzeichnis taxative Aufzählung der Datenarten Nichteintragung auf Wunsch (kostenlos), neue Teilnehmer müssen gefragt werden Verbot der Auswertung der Teilnehmerdaten 23.10.2013

Weitere Bestimmungen Rufnummernanzeige (§ 104 TKG 2003) muss im Einzelfall oder dauerhaft unterdrückt werden können (kostenlos) Anrufweiterschaltung (§ 105 TKG 2003) Fangschaltung (§ 106 TKG 2003) Recht gegenüber dem Betreiber auf Feststellung der Identität eines belästigenden Anrufers 23.10.2013

Unerbetene Nachrichten (allgemein) Komplexe Regelung in § 107 TKG 2003 Verwaltungsstrafe bis zu 37.000 Euro für E-Mails, bis zu 58.000 Euro für Anrufe aber wenige Strafverfahren. 2012: 344 Anzeigen zu Spam-E-Mails, 59 Strafen, im Schnitt 196 Euro Umfasst sind unerbetene Anrufe, Faxe, E-Mail, SMS Code of Conduct der ISPA und AGBs der Internet Service Provider sind strenger als das Gesetz 23.10.2013

Unerbetene Anrufe und Faxe Unerbetene Anrufe und Faxe zu Werbezwecken sind unzulässig Novellen des TKG und KSchG im April 2011 Höhere Verwaltungsstrafen für unerbetene Anrufe (bis zu 58.000 Euro statt bis zu 37.000 Euro) Unterdrückung oder Fälschung der Rufnummernanzeige strafbar (auch bei zulässigen Anrufen/Faxen!) Glücksspielverträge, die bei unerbetenen Anrufen abgeschlossen wurden, sind nichtig Rücktrittsrecht bei anderen Verträgen, die mittels unerbetener Anrufe abgeschlossen wurden (aber nicht bei allen Arten von Verträgen) 23.10.2013

Unerbetene E-Mails (1) Unerbetene E-Mails (und SMS) zu Werbezwecken oder als Massensendung (mehr als 50 Empfänger) sind unzulässig (auch B2B). Ausnahme für eigene Kunden (§ 107 Abs. 3 TKG): Nur an E-Mail-Adressen (Telefonnummern), die vom Absender selbst im Zuge eines Verkauf/einer Dienstleistung erhoben wurden Nur für eigene, ähnliche Produkte/Dienstleistungen In jeder Nachricht: Möglichkeit, weitere Werbung abzulehnen Vor Versand mit ECG-Liste der RTR abgleichen (§ 7 (2) ECG) 23.10.2013

Unerbetene E-Mails (2) In jedem Fall (auch bei Zustimmung des Empfängers) ist unzulässig: Verheimlichen oder Verschleiern der Identität des Absenders Werbung, die nicht als solche erkennbar ist (§ 6 ECG) Links auf Websites, die gegen ECG verstoßen E-Mails ohne authentische Adresse, wo man weitere Nachrichten abbestellen kann 23.10.2013

Mehrwertdienste Teilnehmernetz-betreiber Dienstenetz-betreiber (Unternehmen) Anrufer (Mitarbeiter) Mehrwert-dienste-anbieter Vertrag 23.10.2013

Mehrwertdienste – Vertragsrecht Zwei verschiedene Verträge sind zu unterscheiden: Vertrag zwischen Teilnehmer und Teilnehmernetzbetreiber (Monatsentgelt, „normale“ Telefonate, ...) Vertrag zwischen Anrufer und Mehrwertdiensteanbieter (über den konkreten Anruf zum Mehrwertdienst, kommt stillschweigend durch das Tätigen des Anrufs zustande) Anrufer und Teilnehmer sind oft nicht identisch! Der Teilnehmer haftet nicht für den Anrufer, entsprechende Klauseln in AGB sind unwirksam Urteile: OGH 27.05.2003, 1 Ob 244/02t; OGH 24.06.2005, 1 Ob 114/05d 23.10.2013

Mehrwertdienste – Praxis (1) Vorbeugung von Problemen durch Sperren (durch den Netzbetreiber oder in der Telefonanlage) Einspruch gegen die Rechnung des Teilnehmernetzbetreiber Zustimmungserklärung, dass die Daten über die strittigen Telefonate an den Dienstenetzbetreiber bzw. den Mehrwertdienst übermittelt werden dürfen Teilnehmernetzbetreiber korrigiert seine Rechnung und leitet die Daten weiter Wenn keine Einigung erzielt werden kann: Streitschlichtungsverfahren bei der RTR 23.10.2013

Mehrwertdienste – Praxis (2) Allfällige Rechnung vom Mehrwertdiensteanbieter bzw. vom Dienstenetzbetreiber Mängel im Vertrag zwischen Anrufer und Mehrwertdiensteanbieter können geltend gemacht werden (z. B. Irrtum, List, Anruf durch nicht Geschäftsfähige, Verletzung regulatorischer Auflagen, ohne Bestellung gelieferte SMS-Abonnements, ...) Teilnehmer ist nicht verpflichtet, dem Mehrwertdiensteanbieter bei der Ausforschung des Anrufers zu helfen 23.10.2013

Mehrwertdienste – Novelle 2011 Bestimmungen aus der TKG-Novelle 2011 RTR kann ein Verbot der Auszahlung an Mehrwertdienstanbieter verhängen (§ 24a) und Nummern sperren lassen (§ 91a) bereits mehrere Bescheide erlassen Wenn RTR Rechtsverletzungen bescheidmäßig festhält, müssen Teilnehmer nicht zahlen bzw. eine Gutschrift erhalten (§ 24a) 23.10.2013

Cybercrime 23.10.2013

Cybercrime-Bestimmungen Grundsätzlich kommen im Internet dieselben Strafbestimmungen zur Anwendung wie außerhalb: z. B. Betrug, gefährliche Drohung, ... In Umsetzung der Cybercrime-Konvention des Europarates wurden im Jahr 2002 Sonderbestimmungen ins Strafgesetzbuch eingefügt 23.10.2013

Strafgesetzbuch (1) § 118a StGB: Widerrechtlicher Zugriff auf ein Computersystem §§ 119, 119a StGB: Verletzung des Telekommunikationsgeheimnisses, Widerrechtliches Abfangen von Daten Eindringen in Systeme, um mitzuhören oder sich Daten zu beschaffen, die nicht für den Täter bestimmt sind Abgrenzung zum „Kommunikationsgeheimnis“: § 93 TKG betrifft Betreiber und deren Personal Täter ist nur mit Ermächtigung des Verletzten zu verfolgen 23.10.2013

Strafgesetzbuch (2) § 126a: Datenbeschädigung Der Bestimmung zur Sachbeschädigung nachgebildet § 126b: Störung der Funktionsfähigkeit eines Computersystems § 126c: Missbrauch von Computerprogrammen oder Zugangsdaten z. B. Missbrauch von Passwörtern 23.10.2013

Strafgesetzbuch (3) § 148a StGB: Betrügerischer Datenverarbeitungsmissbrauch Den Strafbestimmungen zum Betrug nachgebildet. 23.10.2013

Strafgesetzbuch (4) Für alle genannten Delikte gilt: Vorsatzdelikte, meist wird sogar Absicht verlangt (Fahrlässigkeit ist nicht strafbar) Wie bei allen Vorsatzdelikten ist auch der Versuch strafbar 23.10.2013

Weitere Bestimmungen § 51 DSG 2000: Datenverwendung in Gewinn- oder Schädigungsabsicht § 91 UrhG: Gerichtliche Strafe für verschiedene Eingriffe ins Urheberrecht Verbotsgesetz 1947 (z. B. § 3h) Pornographiegesetz, § 207a StGB (Kinderpornographie) 23.10.2013

Wer ist strafrechtlich verantwortlich? Grundsätzlich immer der (unmittelbare) Täter, Bestimmungstäter (Anstifter), Beitragstäter Seit 2006 auch strafrechtliche Haftung des Unternehmens für seine Dienstnehmer Strafrechtswidrige Weisungen sind vom Untergebenen abzulehnen Keine Straffreiheit, allenfalls ein Milderungsgrund 23.10.2013

Verbandsverantwortlichkeits-gesetz (1) Seit 01.01.2006 in Kraft Verband = juristische Person aber nicht, wer in Vollziehung der Gesetze handelt (vgl. Amtshaftung) Entscheidungsträger / Mitarbeiter Entscheidungsträger = Geschäftsführer, Vorstand, Prokurist, Aufsichtsrat, oder wer „sonst maßgeblichen Einfluss auf die Geschäftsführung ausübt“. Verbandsgeldbuße, unabhängig vom Strafverfahren gegen den Dienstnehmer 23.10.2013

Verbandsverantwortlichkeits-gesetz (2) Verantwortlichkeit für Straftaten eines Entscheidungsträgers Verantwortlichkeit für Straftaten eines Mitarbeiters nur dann, wenn Entscheidungsträger die Tat ermöglicht oder erleichtert haben, indem sie die gebotene Sorgfalt außer acht gelassen haben 23.10.2013

Verwaltungsstrafverfahren Grundsatz: Verwaltungsstrafrechtlich verantwortlich ist, wer zur Vertretung nach außen berufen ist § 9 (2) VStG: Es kann ein verant-wortlicher Beauftragter bestellt werden muss nachweislich zugestimmt haben muss entsprechende Anordnungsbefugnis haben 23.10.2013

Auskunftpflicht an Sicherheitsbehörden und andere Stellen 23.10.2013

Überblick Überwachung der Telekommunikation (StPO + TKG) zur Aufklärung schwerer Straftaten, mit gerichtlicher Bewilligung § 53 Sicherheitspolizeigesetz Umfassende Auskunftspflicht bei Vorliegen einer „Gefahr“ Auskunft über Stammdaten § 76a StPO: Verdacht einer Straftat § 90 Abs. 6 TKG: Verdacht einer Verwaltungsübertretung § 98 Telekommunikationsgesetz (Notrufdienste) § 18 E-Commerce-Gesetz Urheberrechtsgesetz Vorratsdatenspeicherung (seit 2012) 23.10.2013

Überwachung der Telekommunikation (1) § 134–140 StPO Aufklärung einer vorsätzlich begangenen, schweren Straftat Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen Rechtsmittel des Betroffenen Nichtigkeit bei rechtswidriger Überwachung Mitwirkungspflicht für Betreiber nach TKG und Diensteanbieter nach E-Commerce-Gesetz 23.10.2013

Überwachung der Telekommunikation (2) § 94 TKG 2003, Überwachungsverordnung Alle Betreiber sind zur Mitwirkung an einer Überwachung im Sinne der StPO verpflichtet Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung haben Anspruch auf Kostenersatz VfGH: Betreiber haben Anspruch (G 37/02, 27.02.2003) Überwachungskostenverordnung: für einzelne Vorgänge Investititonskosten: 80% der Personal- und Sachaufwendungen werden vom Staat ersetzt (§ 94 TKG) 23.10.2013

Seit 1.1.2008 Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ. 23.10.2013

Sicherheitspolizeigesetz (1) Sicherheitsbehörden können Auskünfte von Betreibern nach TKG und Diensteanbietern nach ECG verlangen Keine gerichtliche Bewilligung erforderlich Kein Rechtsmittel für Betroffene, Information der Betroffenen nur bei Verwendung von Vorratsdaten Kein Kostenersatz für Diensteanbieter (Ausnahme: Auskunft über Standortdaten) Sicherheitsbehörde muss rechtliche Zulässigkeit gegenüber Diensteanbieter nicht nachweisen (Ausnahme: Auskunft über Standortdaten) 23.10.2013

Sicherheitspolizeigesetz (2) § 53 Abs. 3a SPG (seit April 2012) Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses IP-Adresse zu einer bestimmten Nachricht und dem Zeitpunkt ihrer Übermittlung Name und Anschrift des Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war Name, Anschrift und Nummer des Anschlusses, der zu einem bestimmten Zeitpunkt eine bestimmte Nummer angerufen hat keine Einschränkung auf schwere Straftaten (auch nicht für Zugriff auf Vorratsdaten), es reicht, dass die Daten zur „Abwehr eines gefährlichen Angriffs“ benötigt werden, das ist auch die Vorbereitung einer Straftat VfGH B1031/11 29.06.2012: keine Bedenken gegen Ausforschung des Nutzers einer IP-Adresse ohne richterliche Prüfung 23.10.2013

Auskunft über Stammdaten § 76a StPO: bei Verdacht einer Straftat verpflichtet: Anbieter von Kommunikationsdiensten Ersuchen von Kriminalpolizei, Staatsanwaltschaft, Gericht umfasst auch Zugangsdaten, zB dynamische IP-Adressen § 90 Abs. 6 TKG 2003 an Verwaltungsbehörden bei Verdacht einer Verwaltungsübertretung, die über ein Telekommunikationsnetz begangen wurde auf „schriftliches und begründetes Verlangen“ § 98 TKG 2003 an Betreiber von Notrufdiensten neu: Standortdaten automatisch schon bei Rufaufbau übermittelt, Stammdaten bei Rückfrage 23.10.2013

§ 18 E-Commerce-Gesetz Alle Diensteanbieter müssen auf gerichtliche Anordnung hin offenlegen: alle Informationen, die zur Ermittlung eines Nutzers erforderlich sind zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen Hosting-Provider müssen auf Verlangen eines Dritten bei dessen überwiegendem rechtlichem Interesse die Identität des Nutzers offenlegen OGH 6 Ob 104/11d, 14.09.2011: Identität = Vorname, Zuname, Postanschrift, auch E-Mail-Adresse, aber nur soweit vorhanden. Keine Pflicht, eine unbekannte E-Mail-Adresse auszuforschen. OGH 6 Ob 119/11k, 22.06.2012: wenn der Provider nur die dynamische IP-Adresse kennt und sonst nichts, muss er gar nichts offenlegen Keine vergleichbare Bestimmung in Deutschland: OGH 7 Ob 189/11m, 09.05.2012: kein Auskunftsanspruch gegen deutsche Website (Herkunftslandprinzip der E-Commerce-Richtlinie) 23.10.2013

Urheberrechtsgesetz § 87b UrhG: Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen EuGH: Auch ein reiner Access-Provider ist „Vermittler“ Ein Mitgliedstaat kann eine Auskunftspflicht des Providers an private Dritte vorsehen, muss dabei aber die Richtlinien 2000/31, 2001/29, 2002/58, 2004/48 sowie die Grundrechte und die allgemeinen Grundsätze des Gemeinschaftsrechts, wie den Verhältnismäßigkeitsgrundsatz, abwägen. Promusicae, C-275/06, 29.01.2008 (Spanien) LSG/Tele2, C-557/07, 19.02.2009 (Österreich) Bonnier Audio, C-461/10, 25.05.2012 (Schweden) 23.10.2013

Vorratsdatenspeicherung (1) Bis 2012 verpflichtete keine der genannten Bestimmungen dazu, Daten auf Vorrat zu erheben oder zu speichern Im Gegenteil: Nach DSG sind Daten zu löschen, wenn sie nicht mehr für den ursprünglichen Zweck benötigt werden Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn sie nicht mehr für die Verrechnung benötigt werden Empfehlung der DSK vom 11.10.2006: Unzulässigkeit der Speicherung von dynamischen IP-Adressen bei Flatrate (K213.000/0005-DSK/2006), siehe auch VfGH G 31/08 vom 01.07.2009 23.10.2013

Vorratsdatenspeicherung (2) Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen Die Richtlinie wurde in den meisten Mitgliedstaaten umgesetzt, aber in Rumänien (Okt. 2009), Deutschland (März 2010) und Tschechien (März 2011) wurde das nationale Gesetz vom Verfassungsgericht wieder aufgehoben (in Rumänien 2012 neu erlassen) Gilt nur für Betreiber von Kommunikationsnetzen oder -diensten Verkehrsdaten, keine Inhaltsdaten Umsetzung in Österreich nach mehreren Entwürfen im April/Mai 2011, trat am 1. April 2012 in Kraft 23.10.2013

Vorratsdatenspeicherung (3) Novelle des TKG (BGBl. I Nr. 27/2011) Wer hatte wann welche IP-Adresse? Zu allen Telefonaten und SMS/MMS (auch Internettelefonie): Rufnummern von Anrufer und Angerufenem, Zeit und Dauer Bei Mobiltelefonie auch Standort bei Beginn der Verbindung Zu allen E-Mails: Adressen des Absenders und Empfängers, IP-Adresse des Absenders Jeder Kontakt zum Mailserver: IP-Adresse, Zeitpunkt Ausnahmen für kleine Netzbetreiber (ca. €300.000 Umsatz) 6 Monate Speicherdauer Getrennte Speicherung, Zugang mit Vier-Augen-Prinzip Staatsanwaltschaft hat bei schweren Straftaten Zugang, Polizei fast unbeschränkt 23.10.2013

Vorratsdatenspeicherung (4) Datensicherheitsverordnung BGBl. II Nr. 402/2011 Besondere Datensicherheitsbestimmungen Separate Datenbank für Vorratsdaten Vier-Augen-Prinzip Revisionssichere Protokollierung Durchlaufstelle im Bundesrechenzentrum Elektronisches Postfachsystem Liest Inhalte nicht mit, prüft Identität der Behörden/der Netzbetreiber, erstellt Statistiken 23.10.2013

Vorratsdatenspeicherung (5) Urteil des deutschen Bundesverfassungsgerichts 02.03.2010, 1 BvR 256/08 ua Aufhebung der deutschen Bestimmungen zur Vorratsdatenspeicherung mit sofortiger Wirkung Vorratsdatenspeicherung ist möglich, aber: Definition eines Katalogs besonders schwerwiegender Straftaten im Gesetz (konkreter Verdacht, konkrete Gefahr) Besonders strenge Datensicherheit (egal wieviel das kostet), Kosten können auf Betreiber überwälzt werden Weniger strenge Anforderungen, wenn es nur darum geht, wer zu einem bestimmten Zeitpunkt eine bestimmte IP-Adresse genutzt hat. 23.10.2013

Vorratsdatenspeicherung (6) Fragen an den Europäischen Gerichtshof, ob die Richtlinie vereinbar mit der Charta der Grundrechte der EU ist irischer High Court (C-293/12) öst. Verfassungsgerichtshof im Dez. 2012 (C-594/12), basierend auf einer Beschwerde von 11,139 Personen (AK Vorrat) öst. Datenschutzkommission im Jänner 2013 (C-46/13) 23.10.2013

Adresse und Links Dieter Kronegger Millergasse 40/17, 1060 Wien http://www.kronegger.eu/, dieter@kronegger.eu Links zu Rechtsinformationen: http://www.ris.bka.gv.at/ http://www.internet4jurists.at/ http://www.rechtsprobleme.at/ http://www.it-law.at/ http://www.argedaten.at/ 23.10.2013