Informationssicherheit und Recht


Hier befinden sich die juristischen Kapitel aus den Büchern "Informationssicherheit und das Eisbergprinzip" und dem zweiten Band "Sicherheitsmanagement und das Eisbergprinzip", der im März 2004 herausgekommen ist. Das Zielpublikum dieser Bücher ist der KMU (kleine und mittelständische Unternehmer). Das Copyright aller Texte liegt bei dem jeweiligen Autor. Die Texte habe ich (Philipp Schaumann) durch Links ergänzt.

Link zum Gesamtinhaltsverzeichnis.

Falls Begriffe unverständlich bleiben, so empfehlen wir das Glossar der Informationssicherheit (PDF, > 1,8 MB).

Informationssicherheit und Recht

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Autor: Michael Pilz in Zusammenarbeit mit Dr. Alois Obereder

Hier ein Achtung durch Philipp Schaumann als Betreiber der Website: Dieser Text ist aus 2004. Ein guter Teil ist grundsätzlicher Natur und daher weiterhin gültig, aber die Details haben sich, auch durch die DSGVO seit 2018, verändert.

Anmerkung: Alle Referenzen auf Gesetze beziehen sich natürlich auf die jeweiligen österreichischen Gesetze, die Texte finden sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage Bundesrecht). Die deutschen Gesetze finden sich beim Justizministerium.

Die Unterkapitel

Recht sicher? Gesetzliche Vorgaben zur Informationssicherheit

Michael Pilz, Veröffentlichung aus dem 2. Band des "Eisbergbuches" - Sicherheitsmanagement und das Eisbergprinzip

Die Unterkapitel

Die Einführung eines IT-Security-Systems

Benötigen wir dazu die Zustimmung des Betriebsrates? Und wenn wir keinen Betriebsrat haben?

Die Einführung eines IT-Security-Systems in einem Unternehmen wirft nicht nur technische und organisatorische Probleme auf, es gibt auch einige juristische Aspekte zu bedenken. In diesem Fall hängt die Sachlage davon ab, ob das Unternehmen einen Betriebsrat hat.

Zuerst wird dieser Fall eines Unternehmens mit behandelt. Grundsätzlich gilt, dass die Zulässigkeit der Einführung eines IT-Security-Systems im Unternehmen zur Kontrolle der Nutzung der „Neuen Medien“ Internet und E-Mail, in Betrieben mit einem Betriebsrat von dessen Zustimmung abhängig ist. Dabei sind die für die E-Mail- und Internetnutzung maßgeblichen betrieblichen Rechtsvorschriften in der vom Arbeitsverfassungsgesetz (ArbVG) vorgesehenen Form abzuhandeln.

Nach § 96 Abs 1 Z3 ArbVG bedürfen Maßnahmen zur Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren, zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates. Unter „Einführung“ wird auch die Aufrechterhaltung einer bereits bestehenden Maßnahme verstanden (Strasser/Jabornegg, ArbVG § 96 E 8).

Weil E-Mail und Internetzugang selbst im Gesetz nicht erwähnt werden und es in Österreich auch noch keine ausjudizierte Urteile zu diesen Fragen gibt, muss man sich hier mit Analogien zu anderen Medien helfen. So lässt sich vielleicht anhand der im Zusammenhang mit der Installierung von Telefonregistrierungsanlagen entwickelten Judikatur voraussagen: Der Arbeitgeber soll zwar das Recht haben, private Telefongespräche zu untersagen, nicht jedoch das Recht, trotz dieses Verbotes geführte Telefongespräch abzuhören, oder eine Abhöranlage zu installieren. Ein Mithören soll nur in Ausnahmefällen erlaubt sein, wenn nämlich der Mitarbeiter von der Tatsache des Mithörens unmittelbar akustisch oder optisch Kenntnis erlangt. Eine Einrichtung, die das Abhören von Telefonaten ohne Kenntnis des Telefonierenden ermöglicht, gilt als eine die „Menschenwürde beeinträchtigende“ Kontrollmaßnahme (EA Linz 1976/Arb 9477). Insbesondere berührt die Kontrollmaßnahme die Menschenwürde dann, wenn sie im Arbeitnehmer das dauernde Gefühl potentieller Überwachung entstehen lässt (EA Linz 1985/ZAS 1986, 171).

Die Kontrollmöglichkeit durch die Registrierung der E-Mail- oder Internetzugangsdaten auf dem Server des Unternehmens sind im Vergleich zu Telefonaten ungleich vielfältiger. Es werden nämlich nicht nur bedeutend mehr Informationen aufgenommen und gespeichert; auch der Gehalt dieser Daten hat sich geändert. Der Judikatur zu den Telefonanlagen kann beispielsweise entnommen werden, dass als rechtskonform gilt, wenn der Arbeitgeber lediglich die Kosten und die vom Arbeitnehmer tatsächlich verwendete Zeit für die Erledigung privater Telefonate aufzeichnet. Die Log-Files einer Internetverbindung gehen aber üblicherweise über diese Daten weit hinaus.

Inhaltliche Kontrollen, mit wem der Arbeitnehmer worüber gesprochen hat, erscheinen jedenfalls unzulässig. Bezogen auf die technischen Möglichkeiten moderner EDV-Anlagen kann dies nur bedeuten, dass dem Arbeitgeber die Erfassung der Ziele des Internetzuganges der Arbeitnehmer verwehrt sein sollen. Denn diese bilden ja das materielle Element der Internetnutzung, genau das also, was im Zusammenhang mit der Telefonanlagenkontrolle dem Wissen des Arbeitgebers entzogen sein sollte. Die moderne Technik liefert jedoch über die Einsicht in die Log-Files des Servers Informationen über Zeit und Zeitdauer, über das angewählte Ziel im Internet und damit über das Thema und die Interessen der Arbeitnehmer. Dem Arbeitgeber wäre es nach der bisherigen Judikatur im Bereich Telephonie lediglich erlaubt, Anlagen zu installieren, welche die vom Arbeitnehmer auf die Internetnutzung verwendete Zeit erfassen. Bei Einführung des Internetzuganges müsste der Arbeitgeber entweder dafür Sorge tragen, dass die bei ihm im Betrieb erfolgten Aufzeichnungen unverzüglich gelöscht werden, oder auf ein anonymes Maß von Informationen, die sich lediglich auf die formalen Aspekte der Internetnutzung (Zeitpunkt und Zeitraum; Benutzer oder Benutzergruppe) reduzieren, beschränkt werden oder dass gleichzeitig mit der Einführung des Internets im Betrieb eine Betriebsvereinbarung über die Nutzung des Netzes und die erlaubten Kontrollmöglichkeiten durch den Arbeitgeber abgeschlossen werden.

In Betrieben, in denen kein Betriebsrat eingerichtet ist, ist nach § 10 AVRAG die Einführung und Verwendung von Kontrollmaßnahmen und technischen Einrichtungen jedenfalls unzulässig, es sei denn, die Zustimmung der betroffenen Arbeitnehmer liegt hierfür vor, zum Beispiel als Teil des Arbeitsvertrages. Eine solche Zustimmung kann vom Arbeitnehmer, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit und ohne Einhaltung einer Frist schriftlich gekündigt werden.

Liegt eine Betriebsvereinbarung oder eine einzelvertragliche Vereinbarung nicht vor, haben die Arbeitnehmer Anspruch auf Unterlassung der Nutzung einer derartigen Kontrollanlage, oder auf Beseitigung bereits bestehender Überwachungsmaßnahmen; zuständig für diese Verfahren ist das Arbeits- und Sozialgericht (VfGH 1976/A 9534).

In einem Artikel wird Ende 2016 die Rechtslage für betriebliche Emails in Deutschland im Hinblick auf die Geschäftsgeheimnisrichtlinie dargestellt.

Kontrolle privater E-Mail- und Internetnutzung

Mit unserem IT-Security-System haben wir die Möglichkeit zu kontrollieren, welche Inhalte von den MitarbeiterInnen im WWW abgefragt werden. Dürfen wir das kontrollieren?

In aller Regel wohl nicht. Wird die individuelle Nutzung des Internets und des E-Mail-Accounts bereits im Arbeitsvertrag selbst geregelt, kann auch das vollständige Verbot der privaten Nutzung der „Neuen Medien“ vereinbart werden. Vom Arbeitgeber werden dabei lediglich Sittenwidrigkeit oder Schikaneverbot als Grenzen der vertraglichen Gestaltungsmöglichkeit zu berücksichtigen sein. Dasselbe gilt für den Fall, dass der Arbeitgeber mittels Weisung das Verbot der Privatnutzung ausspricht (Schwarz/Löschnigg, Arbeitsrecht 282). Allerdings hat die Belegschaft die Möglichkeit, im Rahmen einer erzwingbaren Betriebsvereinbarung nach § 97 Abs. 1 Z 6 ArbVG durch Anruf einer Schlichtungsstelle für einen Interessensausgleich zu sorgen, obwohl solche Maßnahmen grundsätzlich dem Weisungsrecht des Arbeitgebers und damit seiner einseitigen Gestaltungsmacht unterliegen. Ein solcher Kompromiss könnte zum Beispiel ein Internet-Café im Pausenbereich sein.

Die Schlichtungsstelle hat dann „unter Abwägung der Interessen“ des Betriebes einerseits und der Belegschaft andererseits (§ 146 Abs. 2 ArbVG) zu entscheiden. Die Interessen des Arbeitgebers werden im vorliegenden Fall beispielsweise darin liegen, durch das Verbot der privaten Nutzung der „Neuen Medien“ die Arbeitszeit der Arbeitnehmer für seine Zwecke zu sichern, die Überlastung des EDV-Netzes zu vermeiden oder die Gefahren durch den Import von Computerviren zu minimieren. Dem gegenüber wird das legitime Interesse der Arbeitnehmer auf das - gerade im IT-Bereich wichtige - spielerische Erlernen der notwendigen Fertigkeiten im WWW oder die zwischenzeitig immer häufiger gegebene Notwendigkeit der Kommunikation mit Behörden via E-Mail stehen; nicht unberücksichtigt bleiben darf dabei aber auch, dass die elektronische Kommunikation bereits im hohen Ausmaß Alltagscharakter angenommen hat, ein Umstand, der sich in den nächsten Jahren weiter steigern wird. Dadurch wird die Parallele zur privaten Nutzung von Firmentelefonen immer deutlicher.

Werden Weisungen im Zusammenhang mit der Nutzung der „Neuen Medien“ überhaupt nicht erteilt und kommt es auch zu keinen entsprechenden Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer so wird Maßstab für deren Nutzung lediglich die Treuepflicht des Arbeitnehmers gegenüber dem Arbeitgeber sein. Maßvolle Nutzung der „Neuen Medien“ kann somit auch keine Auswirkung auf den Arbeitsvertrag haben, wenn seitens der Arbeitnehmer die Nutzung lediglich im Rahmen des Üblichen erfolgt.

Die Überprüfung der bei Nutzung eines Internetzugangs anfallenden Daten (insb. Log-Files) ist solange unproblematisch, als diese Log-Files nicht einem bestimmten Benutzer zugeordnet werden (Dellisch, AsoK 2001, 319). Erst die Verknüpfung von Log-Files mit einem bestimmten Computer (IP-Adresse), bzw. über die Benutzerkennung mit einem bestimmten Mitarbeiter, stellt das Verarbeiten personenbezogener Daten dar.

Hat der Arbeitgeber allerdings die Nutzung des Internets auf rein betriebliche Zwecke eingeschränkt (Privatnutzung ausgeschlossen, Details siehe unten), so kann nach Information der Dienstnehmer über die Datenverwertung (Kontrolle) gemäß § 24 Datenschutzgesetz (DSG) uneingeschränkt kontrolliert werden.

Beim Internetzugang hängt der Schutz der Arbeitnehmer vor Überwachung durch den Arbeitgeber auch davon ab, ob das Unternehmen die Daten betreffend Internetzugang selbst durchführt und verwaltet oder ob der Internetzugang durch Dritte, in der Regel einen Internetprovider, durchgeführt und verwaltet wird.

Im letzteren Fall, der bei vielen kleinen Unternehmen vorliegt, hat der Arbeitgeber faktisch und rechtlich keine Möglichkeit, an bestimmte Daten betreffend Internetnutzung (insb. Daten über Zeit und Dauer von Internetverbindungen) oder - je nach Konfiguration - an den E-Mail-Account seiner Arbeitnehmer heranzukommen - und der Provider selbst unterliegt der Verschwiegenheit nach § 88 Telekommunikationsgesetz (TKG). Das dort geregelte Fernmeldegeheimnis umfasst die Inhaltsdaten und die näheren Umstände der Kommunikation, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt war. Das Fernmeldegeheimnis geht sogar noch weiter, weil es sich nach dem Gesetz auch auf die näheren Umstände erfolgloser Verbindungsversuche erstreckt. Der Bruch des Fernmeldegeheimnisses ist nach § 101 TKG in einigen Fällen - darunter auch dann, wenn einem Unbefugten Kenntnis über Telekommunikationsvorgänge verschafft wird - gerichtlich strafbar (Privatanklagedelikt).

Unterhält der Arbeitgeber hingegen einen eigenen Server oder eine Appliance, die Daten betreffend der Internetnutzung speichert (zum Beispiel eine Firewall oder Proxy), so hat er theoretisch - und bei entsprechenden technischem Geschick auch praktisch - Zugriff auf personenbezogene Verbindungs- und Inhaltsdaten. In jedem Fall fallen solche personenbezogene Internetzugangsdaten bereits bei der Nutzung eines Webbrowsers an, da alle diese Programme im sog. History-File Zugangsdaten aufbewahren.

Der Arbeitgeber unterliegt in diesem Zusammenhang jedoch den Bestimmungen des Datenschutzgesetz (DSG): Er darf die Daten nur dann verarbeiten, wenn der Arbeitnehmer dieser Verarbeitung ausdrücklich zustimmt oder wenn überwiegend berechtigte Interessen zu seinen Gunsten vorliegen. § 1 DSG bestimmt, dass jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht.

Gegenwärtig liegt noch keine Rechtssprechung vor, ob einem Arbeitgeber im Hinblick auf ein erlassenes Verbot privater Internetnutzung ein überwiegendes Interesse an der Einsicht in die entsprechenden Daten eingeräumt werden wird. Dagegen spricht jedenfalls, dass ja die Einhaltung des Verbotes der Privatnutzung durch die Arbeitnehmer auch durch Kontrollgänge in die Arbeitsräume der Arbeitnehmer überprüft werden kann und daher die Durchbrechung der Grundsätze des DSG und des „Schutzes eines Grundrechts“ weitgehend erscheint.

Was passiert bei einem Verstoß?

Die Folgen eines Verstoßes gegen ein Verbot der privaten E-Mail- und Internetnutzung sind im Einzelfall zu prüfen; von den Umständen des Einzelfalles hängt es auch ab, ob im Falle der Privatnutzung eine Entlassung möglich erscheint. Dabei ist zu unterscheiden, ob diesbezüglich eine Weisung, eine vertragliche Vereinbarung oder eine Betriebsvereinbarung vorliegt oder nicht. War die Privatnutzung der „Neuen Medien“ niemals Gegenstand einer Verhaltensanordnung an den Arbeitnehmer, wird nur dann, wenn exzessiv Arbeitszeit für private Zwecke verwendet oder Betriebsmittel des Arbeitgebers genutzt wurden, eine Entlassung in Frage kommen, die auf die Tatbestände der „Untreue“ und der „Vertrauensunwürdigkeit“ nach § 27 Z 1 Angestelltengesetz (AngG) zu stützen wären.

Maßstab wird dabei die Treuepflicht des Arbeitnehmers sein, anhand derer zu prüfen sein wird, ob eine Vertragsverletzung vorliegt oder nicht. Der OGH scheint hier allerdings eine strenge Linie zu vertreten. In einer Entscheidung (OGH 1997/ARD 4937/33/98) zur Privatnutzung der EDV-Anlage des Arbeitgebers hat der OGH ausgesprochen, dass die private Verwendung des Computers und von Computerprogrammen des Arbeitgebers einen Entlassungsgrund darstellen kann, wobei es nicht darauf ankomme, ob der Arbeitnehmer dabei weisungswidrig auch fremde Software installiert hat, oder ob die Installierung privater Programme überdies geeignet war, Viren einzubringen. Es hat daher den Anschein, dass die private Verwendung der EDV des Arbeitgebers durch die Judikatur argwöhnisch betrachtet wird.

Im Falle eines ausdrücklichen Verbotes der Privatnutzung ist die Weisung des Arbeitgebers bzw. die vertragliche Vereinbarung als Richtlinie über das vertragskonforme Verhalten zu werten. Dessen ungeachtet darf jedoch nicht übersehen werden, dass es bei der Frage der beharrlichen Dienstpflichtverletzung immer auch auf die allgemeinen arbeitsrechtlichen Kriterien der Unzumutbarkeit der Aufrechterhaltung des Arbeitsverhältnisses bis zum nächsten Kündigungstermin ankommen wird.

Weiters ist das Vorliegen einer Ermahnung oder einer Weisung unter Hinweis auf die Folgen im Falle des Zuwiderhandelns jedenfalls erforderlich. Die Umstände des Einzelfalles werden zu berücksichtigen sein, wobei die Fragen der Nachhaltigkeit, Hartnäckigkeit und Unnachgiebigkeit wesentliche Kriterien darstellen. Nicht unwesentlich ist in diesem Zusammenhang die Frage, ob die Weisung des Arbeitgebers auch tatsächlich rechtskonform ist; steht also beispielsweise eine Betriebsvereinbarung im Sinne des § 97 Abs 1 Z 6 ArbVG, die einen moderaten Privatnutzungsbereich zugesteht, einem arbeitsvertraglichen Verbot gegenüber, wird eine Entlassung nicht zu rechtfertigen sein, wenn sich der Arbeitnehmer im Rahmen des durch die Betriebsvereinbarung Erlaubten hält.

Private Dateien auf dem Firmenrechner - darf der Arbeitgeber die Festplatte des PCs untersuchen?

Wird ein PC als Betriebsmittel vom Arbeitgeber zur Verfügung gestellt, verbleibt dem Arbeitgeber grundsätzlich die alleinige Verfügung über dieses Arbeitsmittel. Es liegt im alleinigen Ermessen des Arbeitgebers als wirtschaftlich Berechtigter an den Betriebsmitteln, diese auch einzusehen, zu verändern oder dem Zugriff des Mitarbeiters auch wieder zu entziehen. Die lokale Platte ist daher nicht privater Bereich des betreffenden Mitarbeiters und kann daher vom Arbeitgeber überprüft werden. Nachstehendes ist aber zu berücksichtigen:

In manchen Betrieben ist das Herunterladen von Programmen und die anschließende Installation auf dem Rechner des Arbeitgebers im Rahmen einer Sicherheitspolicy ausdrücklich verboten, weil es sich um eine Modifikation der vom Arbeitgeber bereitgestellten Betriebsmitteln handelt.

Generell gilt, dass auch das Abspeichern privater, selbst geschaffener und urheberrechtlich geschützter Werke die lokale Platte noch nicht zum „Privatbereich“ macht. Zur Kollision von Rechten, nämlich der Verfügungsmacht des Arbeitgebers und dem Verwertungsrecht des Urhebers, kommt es aber dann, wenn der Arbeitgeber Inhalte der lokalen Platte ohne Zustimmung des Berechtigten verändert, löscht oder vervielfältigt. In all diesen Fällen kann dies einen Eingriff in fremde Werknutzungsrechte darstellen. Der Berechtigte hat sodann den Anspruch auf Unterlassung sowie Ansprüche auf Bezahlung angemessenen Entgelts, Schadenersatz, Rechnungslegung, Beseitigung und Urteilsveröffentlichung. Vor der Veränderung oder Löschung der Daten hat aber der Arbeitgeber den Mitarbeiter aufzufordern, diese Daten zu entfernen oder umzuspeichern zum Beispiel auf Diskette.

Ein Verbot der Abspeicherung privater Inhalte ist auf jeden Fall für solche Inhalte zu bejahen, die gesetzlichen Vorschriften widersprechen, dies können etwa kinderpornografische (in 2003 heißt das korrekter: 'sexuelle Gewalt gegen Kinder'), neonazistische oder verhetzende Inhalte sein. So ist etwa das „Sich-Verschaffen“ und „Besitzen“ pornographischer Darstellungen mit Unmündigen (Kinderpornographie) durch Abspeichern auf der Festplatte des PCs, einer CD oder auf einer Diskette gemäß § 207a StGB strafbar.

Ergänzung des Webmasters: Wer Kinderpornographie und andere illegale Inhalte melden möchte, der findet hier die entsprechende Adresse der Stop-Line in Ö, bzw. in Deutschland oder der Schweiz.

Einsicht in die Mailbox des Mitarbeiters

Folgender Fall könnte passieren: In letzter Zeit häufen sich die Beschwerden, dass ein Mitarbeiter Anfragen von Kunden nicht erledigt. Dieser Mitarbeiter ist aber gerade auf Urlaub. Darf der Vorgesetzte seine Mails einsehen?

Hier der Link zu einem Artikel aus 2015: Wann und wie darf der Arbeitgeber auf die dienstlichen E-Mail-Konten des Arbeitnehmers zugreifen? zur Rechtslage in Deutschland.

Grundsätzlich gilt, dass bei der betrieblichen Nutzung von E-Mail spezielle beschränkende Vereinbarungen möglich sind: So kann etwa vereinbart werden, dass eingehende und ausgehende E-Mails in allen Fällen ausgedruckt werden und dem über den jeweiligen Geschäftsfall angefertigten Aktenstück beigefügt werden, oder dass E-Mails elektronisch dauerhaft archiviert werden müssen, sowie dass ausgehende E-Mails den gleichen Vorschriften wie normale Ausgangspost unterliegen.

Weiters kann vereinbart werden, dass Erklärungen, durch die das Unternehmen verpflichtet wird, auch über E-Mail von dem jeweiligen Mitarbeiter nur und ausschließlich im Rahmen seiner dienstlichen Kompetenzbereiche abgegeben werden dürfen, und dass eingehende E-Mails rasch zu bearbeiten sind. Insofern E-Mails auch Umstände betreffen, die über den engeren Aufgabenbereich des Mitarbeiters hinausgehen, kann vereinbart werden, dass E-Mails elektronisch oder auch als physischer Ausdruck an den zuständigen Mitarbeiter und/oder den Vorgesetzten weiterzuleiten sind.

Die Frage der Legalität des Zugriffs auf die Mailbox des Mitarbeiters hängt davon ab, ob der Arbeitgeber die private Nutzung von E-Mails generell ausgeschlossen hat. In diesem Fall ist eine Überprüfung der Inhaltsdaten derartiger E-Mails zulässig, weil der Arbeitgeber darauf vertrauen darf, dass E-Mails nur dienstlich verwendet werden.

Eine zulässige Privatnutzung lässt hingegen die Kontrolle des Inhalts privater E-Mails von Arbeitnehmern problematisch erscheinen. Hat der Arbeitgeber seinen Arbeitnehmern die Privatnutzung des E-Mail-Accounts gestattet, ist der Zugriff auf Inhaltsdaten rechtswidrig.

Ob aber ein völliges Verbot des Sendens oder Empfangens privater E-Mails am Arbeitsplatz durch den Arbeitgeber zulässig ist, erscheint fraglich, da wie oben angeführt - ähnlich dem Telefonieren, die E-Mail Nutzung einen immer alltäglicheren und auch von Gesetzes wegen vorgesehenen Weg der Kommunikation darstellt.

Der Inhalt von privaten E-Mails wird dabei den höchsten Vertraulichkeitsschutz genießen. Die Verwandtschaft von E-Mails mit Briefen scheint augenfällig. Jedoch liegt rechtlich der wesentliche Unterschied von E-Mails zur (herkömmlichen) Post darin, dass aufgrund der „Verletzung des Briefgeheimnisses“ nach § 118 Strafgesetzbuch (StGB) nur der unter Strafe gestellt wird, der „einen nicht zu seiner Kenntnisnahme bestimmten verschlossenen Brief oder ein anderes solches Schriftstück öffnet“; einfache E-Mails, wie sie in der Praxis vorkommen, fallen nicht unter diese Strafbestimmung (Wagner, Unbefugter Zugriff auf E-Mail, ecolex 2000, 273f). „Verschlossen“ wäre ein E-Mail nur dann, wenn es „verschlüsselt“ abgesendet und von unberechtigten Empfängern „entschlüsselt“ wird.

Schutz von privaten E-Mails im Betrieb bieten die einschlägigen Bestimmungen des § 88 Abs. 4 scha und § 51 DSG. Letztere Bestimmung stellt unter gerichtliche Strafe, wer in der Absicht, sich einen Vermögensvorteil zu verschaffen, oder einem anderen einen Nachteil zuzufügen, personenbezogene Daten, die ihm ausschließlich aufgrund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind, oder die er sich widerrechtlich verschafft hat, selbst benützt oder einem anderen zugänglich macht oder veröffentlicht, obwohl der andere ein schutzwürdiges Geheimhaltungsinteresse hat. Als Täter meint das DSG jedermann, der in der einen oder anderen Form Datenendgeräte benützt (Mayer/Schönberger/Brandl, Datenschutzgesetz 2000, 122f), also beispielsweise auch den Systemadministrator eines Unternehmens, der ein E-Mail eines Mitarbeiters an den Arbeitgeber weitergibt, das er zufällig bei der Fehlersuche gelesen hat, oder den Arbeitgeber selbst, der die vertraulichen E-Mails seiner Arbeitnehmer liest. Die Einsichtnahme in private E-Mails von Arbeitnehmern ist auf jeden Fall verboten. Bei der Frage nach der Prüfung der Übermittlungsdaten (Absender, Empfänger, Menge der übermittelten Daten), ohne dass gleichzeitig Einsicht in die Dokumente genommen wird, muss hingegen ähnlich wie bei der Kontrolle des Zugangs zum Internet vorgegangen werden.

Zur Sicherung der Aufrechterhaltung des betrieblichen Ablaufs könnten die Mitarbeiter bei geplanten Abwesenheiten (Urlaub, Weiterbildung) eine automatische Benachrichtigung über ihre Abwesenheit im E-Mail-Programm hinterlegen, in welchem die E-Mail-Adresse des Vertreters und seine Telefonnummer angegeben ist. Auf diese Weise wissen die Kunden, an wen sie sich wenden sollten.

[Zusatz Philipp Schaumann: Die ADV hat 2009 eine Veröffentlichung zu E-Mail- und Internetnutzung aus arbeitsrechtlicher Sicht herausgegeben.]

Angriffe auf die EDV-Systeme

Externe Angriffe auf das EDV-System: Folgender Fall wäre denkbar: Die Konkurrenz hat ein Intranet eingerichtet. Unser EDV-Leiter teilt uns mit, dass er den Passwortschutz ganz leicht umgehen kann. Was würde passieren, wenn wir uns dort nur aus Interesse einmal umsehen?

Bei entsprechendem Vorsatz handelt es sich um „Hacking“, das heißt, ein „Einbrechen“ in ein fremdes Datenverarbeitungssystem, wobei für diesen Tatbestand spezifische Sicherheitsvorkehrungen, wie Passwörter oder Zugangscodes umgangen bzw. durchdrungen werden müssen.

Es kann auf zwei verschiedene Arten unbefugt in ein Rechnersystem eingedrungen werden: Entweder unter Verwendung einer fremden Kennung oder unter Verwendung eines Programmes, welches das Schutzsystem durch Datenmanipulation überlistet. Dies hat strafrechtliche Relevanz. In Betracht kommen insbesondere die Tatbestände des widerrechtlichen Zugriffs auf ein Computersystems gemäß § 118a StGB, der Datenbeschädigung nach § 126 a StGB oder des betrügerischen Datenverarbeitungsmissbrauchs nach § 148 a StGB.

Einen widerrechtlichen Zugriff auf ein Computersystem gemäß § 118 a StGB verwirklicht der, der in Absicht sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt.

Das Delikt der Datenbeschädigung § 126 a StGB ist dann erfüllt, wenn ein Hacker vorsätzlich personenbezogene oder nicht personenbezogene Daten (im Sinne des § 96 a Abs. 2 StGB) und Programme verändert, löscht oder unterdrückt und dadurch einen anderen schädigt, tritt dieser strafrechtsrelevante Erfolg nicht ein, handelt der Täter jedoch mit dem Vorsatz, in die Datenbestände derart einzugreifen, so kann er sich wegen versuchter Datenbeschädigung strafbar machen.

Darüber hinaus kommen je nach dem Erfolg der Tathandlung sowie nach der konkreten Vorsatzausgestaltung des Täters Geheimnis- (§§ 192 bis 124 StGB) und Datenschutzbestimmungen (§§ 51, 52 DSG) in Frage.

Bei der Datenbeschädigung handelt es sich um ein Ermächtigungsdelikt, bei dem der Täter nur mit Ermächtigung des Verletzten verfolgt werden kann. In den anderen Fällen ist eine Strafanzeige zu erstatten, auf Grund deren der Täter von Amts wegen verfolgt werden kann.

Interne Angriffe auf das EDV-System: Was passiert, wenn ein Unternehmen nachweisen kann, dass sich ein Mitarbeiter in unerlaubter Weise in die geschützten Buchhaltungsdaten des Unternehmens eingeloggt hat. Kann dieser Mitarbeiter entlassen werden?

Hier handelt es sich um einen unerlaubten „Eingriff“ in bzw. „Nutzung“ des betrieblichen Netzwerks, des Intranets. Dieser verbotene Eingriff fällt unter den strafrechtlichen Tatbestand des „Hackings“, das heißt, unerlaubter Zugang zu einem Computersystem gemäß §§ 118 a und 126 a StGB. Zusätzlich könnte diese Handlung auch eine Verletzung von Geschäfts- und Betriebsgeheimnissen darstellen.

Auch in diesem Fall sind die Tatbestände des widerrechtlichen Zugriffs auf ein Computersystem gemäß § 118 a oder der Datenbeschädigung gemäß § 126 a anwendbar. Wie weiter oben dargestellt ist jedoch bei beiden Bestimmungen vorausgesetzt, dass der Angreifer sich oder anderen einen Vorteil oder anderen einen Nachteil verschaffen wollte.

Der Arbeitnehmer kann nach § 27 Z 1 Angestelltengesetz (AngG) entlassen werden, wenn die Tatbestände der „Untreue“ und der „Vertrauensunwürdigkeit“ erfüllt werden. Dabei handelt es sich um den Arbeitgeber schädigende Handlungen und Verletzungen der Treuepflicht. Demnach rechtfertigt der verbotene Zugriff auf für ihn gesperrte Systeme eine Entlassung, wenn dem Arbeitgeber die Weiterbeschäftigung unzumutbar ist.

Auswertung von Log Files

Schon seit einiger Zeit bemerken wir, dass ein Hacker versucht, über unseren Web-Server in das EDV-System einzudringen. Wir möchten natürlich wissen, wer das ist. Dürfen wir die Log-Daten auswerten?

Um externe oder interne Angriffe nachweisen zu können, müssen die sog. Log-Files ausgewertet werden. Diese entstehen bei der routinemäßigen Nutzung von fast allen EDV-Systemen. Sie enthalten oft personenbezogene Verbindungs- und Inhaltsdaten, die den Bestimmungen des Datenschutzgesetzes unterliegen.

Meistens wird das firmeninterne Netzwerk (LAN, WAN und Intranet) durch eine Firewall vor unbefugten Zugriffen von außen gesichert. Diese Technologie erlaubt Beschränkungen der zur Verfügung stehenden Dienste. In Fällen eines Hinweises auf unberechtigten Zugriff auf Firmendaten, bzw. die Firmenrechner, auf das Eindringen oder Vorhandensein von Computerviren oder sonstige Störung des Netzwerkbetriebes oder der Datensicherheit kann automatisch einer der Mitarbeiter benachrichtigt werden, der diese Hinweise überprüft und Maßnahmen ergreifen kann.

Log-Files eines Firewalls oder eines Web-Proxys sind Zugriffsprotokolle. Diese Datei wird üblicherweise folgende Daten enthalten: Ursprung und Ziel des Zugriffs, zum Beispiel IP-Adresse oder Benutzerkennung, Datum und Zeit des Zugriffs, und die Art des Zugriffs, also zum Beispiel die URL auf die ein Benutzer zugegriffen hat.

Sind Log-Daten personenbezogene Daten und damit durch das Datenschutzgesetz (DSG) geschützt?

Log-Files stellen vorrangig den Bezug zum jeweiligen Rechner her. Demnach sind sie „maschinenbezogene“ Daten, bzw. indirekt personenbezogene Daten. Im Einzelfall muss man prüfen, ob es darüber hinaus für denjenigen, der die Log-Files protokolliert, zumindest möglich ist, einen Bezug zu einer konkreten Person herzustellen. Dies kann etwa über eine Verknüpfung mit User- und Passworteingabe oder mit E-Mail-Adressen erfolgen. In diesem Fall sind Log-Daten personenbezogene Daten. Ist hingegen die IP-Adresse des Abfragenden dynamisch vergeben oder anonymisiert, dann handelt es sich mangels Bestimmbarkeit der Person nicht um personenbezogene Daten, datenschutzrechtliche Bestimmungen sind daher nicht anwendbar.

Nach den Bestimmungen des Telekommunikationsgesetz handelt es sich bei Log-Files um Vermittlungsdaten; personenbezogene Daten, die sich auf Teilnehmer und Benutzer beziehen und für den Aufbau einer Verbindung oder für die Verrechnung von Entgelte erforderlich sind. Auch wenn das TKG primär von Telefondiensten ausgeht, kann auch die IP-Adresse des Users als passive „Teilnehmernummer“ betrachtet werden. Alle über die taxative Aufzählung in § 87 Abs 3 Z 5 TKG hinausgehenden Informationen über die Art des Zugriffs, sind als Inhaltsdaten zu qualifizieren.

Nach § 91 TKG dürfen Stammdaten, Vermittlungsdaten und Inhaltsdaten nur für Zwecke der Besorgung eines Telekommunikationsdienstes ermittelt oder verarbeitet werden. Vermittlungsdaten dürfen grundsätzlich (ausgenommen für Zwecke der Verrechnung) nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren. Inhaltsdaten dürfen grundsätzlich nicht gespeichert werden. Ist aus technischen Gründen eine kurzfristige Speicherung nötig, hat der Betreiber nach Wegfall dieser Gründe die gespeicherten Daten unverzüglich zu löschen (Jahnel, Datenschutz im Internet, ecolex 2001, 84).

Unterhält der Betrieb einen eigenen Server, der die Daten betreffend die Internetnutzung speichert, hat er theoretisch auf personenbezogene Verbindungs- und Inhaltsdaten Zugriff, der den Bestimmungen des Datenschutzgesetzes (DSG) unterliegt: Er darf die Daten grundsätzlich nur dann verarbeiten, wenn der Betroffene dieser Verarbeitung ausdrücklich zustimmt oder wenn überwiegend berechtigte Interessen zu seinen Gunsten vorliegen, so wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden (§ 8 Abs 3 Z 5 DSG).

Die Auswertung der Log-Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen ist datenschutzrechtlich zulässig.

Vertrieb von Angriffs-Programmen

Ein ausländisches Unternehmen hat uns eine Software zum Vertrieb angeboten, mit der relativ einfach Firewalls umgangen werden können. Dürfen wir das vertreiben, wenn wir zugleich darauf hinweisen, dass es nur zu Testzwecken verwendet werden darf?

Bei dieser Art von Software handelt es sich um ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem, einer Verletzung des Telekommunikationsgeheimnisses, eines missbräuchlichen Abfangens von Daten, einer Datenbeschädigung oder einer Störung der Funktionsfähigkeit eines Computersystems geschaffen oder adaptiert worden ist. Gemäß § 126 c StGB macht sich strafbar, wer ein solches Computerprogramm mit dem Vorsatz herstellt, einführt, vertreibt, veräußert oder sonst zugänglich macht, dass es zur Begehung einer der soeben aufgezählten strafbaren Handlungen gebraucht wird.

Ob der Hinweis, dass die Software nur zu Testzwecken verwendet werden darf, zur Strafbefreiung ausreicht, scheint fraglich. Da für das Vorligen des subjektiven Tatbestandes bedingter Vorsatz ausreicht, also der Täter die Verwirklichung der strafbaren Handlung ernstlich für möglich hält und sich mit ihr abfindet, scheint das Einführen und Vertreiben einer gesetzwidrigen Software mit dem Wissen, dass damit eine strafbare Handlung begangen werden könnte, dieses Vorsatzerfordernis erfüllt zu sein.

Schutz von Kundendaten

Ein Unternehmen verfügt über einen reichhaltigen Datenbestand von Kunden und Lieferanten. Dabei handelt es sich auch um personenbezogene Daten. Dürfen diese Daten weitergeben werden? Müssen diese Daten in besonderer Weise vor Zugriffen geschützt werden?

Kunden- und Lieferantendaten sind personenbezogene Daten, die dem Geheimhaltungsinteresse des Datenschutzgesetztes unterliegen und grundsätzlich nur mit Zustimmung des Kunden oder Lieferanten verwendet werden dürfen.

Das Grundrecht auf Datenschutz bewirkt einen Anspruch auf Geheimhaltung personenbezogener Daten. Darunter ist der Schutz des Betroffenen vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen („schutzwürdiges Geheimhaltungsinteresse“). Dies setzt voraus, dass überhaupt personenbezogene Daten vorliegen, die auf eine in ihrer Identität bestimmte (oder zumindest bestimmbare) Person zurückgeführt werden können (zum Beispiel Name, Geburtsdatum, Staatsangehörigkeit, Familienstand, Adresse, Sozialversicherungsnummer), und dass diese Daten geheim gehalten werden können.

§ 1 Abs. 2 DSG führt als wichtigste Ausnahme vom Geheimhaltungsschutz die Zustimmung des Betroffenen zur Verwendung seiner Daten an. Weitere Gründe für zulässige Eingriffe können sich aus den gegenüber dem Geheimhaltungsinteresse überwiegenden besonderen Interessen entweder des Betroffenen selbst oder aus den Interessen anderer ergeben.

Auftraggeber (Arbeitgeber) im Sinne des DSG ist derjenige, der die tatsächliche Verfügungsgewalt über die Daten hat; diesen treffen folgende wesentliche Pflichten:

  • Registrierung der Datenanwendung beim DSB (gilt nur noch bis Mai 2018, dann muss jede Firma die personen-bezogene Daten verarbeitet ihr eigenes Register dieser Anwendungen führen)
  • Verantwortung für die Zulässigkeit der Datenanwendung,
  • Vorkehrungen zur Datensicherheit,
  • Verpflichtung der Mitarbeiter auf das Datengeheimnis,
  • Informationspflicht, Richtigstellung unrichtiger Daten sowie die Löschung unzulässig verarbeiteter oder nicht mehr gebrauchter Daten.

Die Weitergabe von Daten einer Datenverarbeitung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister stellt gemäß § 4 Z 12 DSG ein „Übermitteln“ von Daten dar. Geht der Datenfluss über die rechtliche Einheit des Unternehmens hinaus, dann liegt Datenübermittlung vor. Innerhalb des Unternehmens gilt ein Datenfluss nicht als Datenübermittlung, soweit die Empfänger der Daten sie zur Erfüllung ihrer dienstlichen Aufgaben benötigen.

Gemäß § 7 DSG dürfen Daten nur verarbeitet, das heißt, im Sinne des § 4 Z 10 DSG nur gespeichert, verändert, verknüpft, abgefragt, ausgegeben, gelöscht, etc. werden, wenn diese aus einer zulässigen Datenverwendung stammen und soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden, wobei zwischen „sensiblen“ und „nicht sensiblen“ Daten unterschieden wird.

Schutzwürdige Geheimhaltungsinteressen sind bei der Verwendung nicht-sensibler Daten dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht, oder wenn der Betroffene der Verwendung seiner Daten zugestimmt hat, oder wenn lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern (§ 8 Abs. 1 DSG).

Für die Verwendung sensibler Daten, das sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben, sieht § 9 DSG ein grundsätzliches Verarbeitungsverbot bei gleichzeitiger Aufzählung dreizehn zulässiger Ausnahmetatbeständen vor. Diese umfassen etwa die Verwendung von Daten, die vom Betroffenen selbst veröffentlicht wurden, indirekt personenbezogene Daten, die ausdrückliche Zustimmung, Verwendung für private Zwecke, wissenschaftliche Forschung und Statistik, im Arbeitsverhältnis und bei der Ausübung öffentlicher Funktionen (Jahnel, Datenschutzrecht, in Jahnel/Schramm/Staudegger (Hrsg), Informatikrecht (2000) 159).

Wer personenbezogene Daten verarbeitet, muss zur Registrierung Meldung an die Datenschutzkommission/Datenverarbeitungsregister (DVR) erstatten. Eine Mitteilungspflicht besteht aber nur dann, wenn eine Datenanwendung überhaupt meldepflichtig ist, wenn ausschließlich veröffentlichte Daten enthalten sind (z.B. Grundbuch, Firmenbuch, in Medien veröffentlichte Bilanzdaten) und sensible Daten, strafrechtsbezogene Daten oder Auskunftsdaten über die Kreditwürdigkeit betroffen sind. Ausgenommen von der Meldepflicht sind unter anderem Standardanwendungen; dazu zählen etwa die Personalverwaltung, Kundenbetreuung und Marketing für eigene Zwecke, Mitgliederverwaltung und Rechnungswesen. Jede Person kann Einsicht in das Datenverarbeitungsregister nehmen.

Überdies haben die Betroffenen im Rahmen des DSG unter anderem folgende Rechte:

  • Recht auf Geheimhaltung der Daten
  • Recht auf Unterlassung unzulässiger Verwendung von Daten
  • Recht auf Auskunft
  • Recht auf Richtigstellung der Daten
  • Recht auf Löschung der Daten
  • Recht auf Widerspruch

Unter Nachweis ihrer Identität können Betroffene auch mittels schriftlichen Antrag bei dem Auftraggeber Informationen über die Herkunft ihrer Daten, die Rechtsgrundlage für die Vermittlung, Verarbeitung, Benützung und Übermittlung erfragen. Der Auftraggeber ist verpflichtet, binnen acht Wochen Mitteilung zu erstatten.

Outsourcing von Datenverarbeitungsleistungen

Wir möchten die Kundendatenverwaltung oder die Personaldatenverwaltung außer Haus geben, weil uns Outsourcing empfohlen worden ist. Müssen wir mit dem Datenverarbeitungsdienstleister besondere Sicherheitsmaßnahmen vereinbaren?

Dienstleister, denen Kunden- sowie Personaldaten zur Verarbeitung überlassen werden, sind schon von Gesetzes wegen verpflichtet, entsprechende Datensicherheit zu gewährleisten.

Die Weitergabe von Daten einer Datenverarbeitung an andere Empfänger als den Betroffenen oder den Auftraggeber, etwa an einen Dienstleister ist eine „Überlassung“ von Daten gemäß § 4 Z 12 DSG. Gemäß § 10 DSG ist diese Weitergabe von Daten an einen Dienstleister dann zulässig, wenn dieser ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bietet. Dadurch verpflichtet sich der Auftraggeber (Arbeitgeber) zu einer sorgfältigen Auswahl des Dienstleisters, indem er etwa den Dienstleister zur Vorlage eines Sicherheitskonzeptes auffordert. Zwischen dem Auftraggeber und dem Dienstleister ist eine schriftliche Vereinbarung abzuschließen, in welcher unter anderem Art und Umfang der Datenverwendung entsprechend präzise festzulegen, sind sowie die Weitergabe der beim Auftraggeber bestehenden besonderen Verschwiegenheitspflichten.

Alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind nach § 14 DSG zu Maßnahmen zur Gewährleistung der Datensicherheit verpflichtet. Dabei ist sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind. Die Maßnahmen, die dazu in Frage kommen, sind beispielhaft aufgezählt. Sie müssen je nach Art der verwendeten Daten unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Protokoll- und Dokumentationsdaten dürfen insbesondere nicht zu Kontrollzwecken verwendet werden und sind grundsätzlich drei Jahre lang aufzubewahren. Auftraggeber, Dienstleister und ihre Mitarbeiter haben Daten aus Datenanwendungen, die ihnen ausschließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden und zugänglich geworden sind, geheim zu halten. Mehr zu den juristischen Aspekten von Outsourcing.

Virenschutz-Software Pflicht?

Ist ein Unternehmen verpflichtet, Virenschutz-Software zu verwenden? Bzw. sind Unternehmen haftbar, wenn von ihrem E-Mail-Server Viren verschickt werden?

P.S.: Eine gesetzliche Verpflichtung zum Schutz gegen Viren gibt es nicht, jedoch haften Unternehmen für Schäden, die sie durch Fahrlässigkeit verursachen. Ein Versenden von Viren wegen fehlendem Virenschutz muss nach dem heutigen Stand der Technik als Fahrlässig betrachtet werden. Hierbei ist zu beachten, dass das Unternehmen als ganzes haftet, nicht jedoch der Arbeitnehmer, soweit er nicht grob fahrlässig oder vorsätzlich gehandelt hat. Zusätzlich zu beachten ist die Haftung der Geschäftsführer gegenüber dem eigenen Unternehmen.

Verstoßen Cookies gegen das Datenschutzgesetz?

Cookies sind kleine Dateien, die auf dem Rechner des Internet-Nutzers abgespeichert werden. Mit ihrer Hilfe kann eine Website Informationen über den Besuch eines Benutzers auf dieser Website (zum Beispiel Zeitpunkt des letzten Besuches, oder die Kundennummer des Kunden) abspeichern und beim nächsten Besuch wieder abrufen. Auf diese Weise können die Rechner von Stammkunden erkannt werden, ohne dass diese sich neu anmelden müssen. In der Browsersoftware kann die Benutzung von Cookies verhindert werden, zum Teil auch gezielt nur für einzelne Websites. Cookies können grundsätzlich nur von der Site gelesen werden, die diesen Cookie auch geschrieben hat.

Da Informationen in Cookies nur demjenigen zur Verfügung stehen, der diese auch geschrieben hat, entsteht, zumindest solange die Website nicht von einem öffentlichen Rechner aus benutzt wird, kein Konflikt mit dem Datenschutzgesetz. Bei öffentlich genutzten Rechnern kann die Lage anders liegen, wenn zum Beispiel die Website bei Vorfinden eines Cookies automatisch Annahmen über die Identität des Benutzers macht und vertrauliche Informationen, zum Beispiel das Benutzerprofil, darstellt. Gut programmierte Websites erlauben für den Fall von öffentlich genutzten Rechnern, dass keine Cookies verwendet werden (Nachfrage an den Anwender).

Wenn ein Unternehmen auf seinen Internet-Seiten Cookies einsetzen will (oder muss), hat das dann Relevanz im Bezug auf das Datenschutzgesetz?

Eine Website sollte so programmiert sein, dass der Benutzer gefragt wird, bevor Cookies auf dem Rechner des Benutzers abgelegt werden, die bei einem nachfolgenden Besuch ohne neuerliche Identifizierung Daten preisgeben (permanente Cookies). Die Nutzung von Cookies sollte im Rahmen einer sog. Privacy Policy auf der Website erklärt und dargestellt werden.

Welche Hinweise sollen bezogen auf Datenschutz, Urheberrecht und ECG auf einer Unternehmens-Website angeführt sein?

Für den Datenschutz sollte auf jeder Website ein Link zu einer Privacy Policy zu finden sein. Hier sollte zum Beispiel erklärt werden, ob und wofür Cookies benutzt werden, was mit den bei dem Besuch anfallenden Informationen über den Benutzer geschehen wird, ob solche Informationen gesammelt werden, wofür sie genutzt und ob sie evtl. weitergegeben werden.

Es empfiehlt sich neben einer Darstellung der Allgemeinen Geschäftsbedingungen auch eine Offenlegung nach §14 HGB:
Gesellschaftsform des Unternehmens mit Sitz in ............; Firmenbuchnummer: ............, Handelsgericht ............; ARA-Lizenznr. ............, DVR: ............, UID: ............

Weiters müssen hier die Angaben nach der Informationspflicht lt. § 5 Abs. 1 e-Commerce-Gesetz dort zu finden sein. Hier bietet sich ein Link auf ihren Eintrag im Firmenverzeichnis der WKO an. Die dort angegebenen Daten können auch direkt durch die Firmen gepflegt werden.

Weitere Details über die Offenlegungsverpflichtungen finden sich auf der Website der WKO, die auch Auskünfte hierzu erteilt

Weiters empfehlen sich Texte analog zu folgendem:
"Diese Website kann Hinweise auf andere Eigentumsrechte und Informationen zu Urheberrechten enthalten, die beachtet und befolgt werden müssen. Wir weisen auch darauf hin, dass die Informationen auf dieser Website technische Ungenauigkeiten oder typografische Fehler enthalten können.
Links von dieser Web-Site auf Web-Sites Dritter werden nur aus Gründen der Benutzerfreundlichkeit zur Verfügung gestellt. Die Aufnahme eines solchen Links impliziert keine Billigung der Inhalte der verknüpften Web-Site und keine Verbindung zu deren Betreiber. Wir kontrollieren nicht die Inhalte der verknüpften Web-Sites und sind nicht für deren Inhalt und den verknüpften Link verantwortlich. Die Nutzung eines Links kann zum Verlassen dieser Website führen und erfolgt auf eigene Verantwortung des Nutzers.”

Ergänzung Philipp Schaumann: Ab 1.Juli 2005 gilt erweiterte Impressums- und Offenlegungspflicht - Websites und Newsletter als neue Mediengattung - Erhöhung der Haftungsobergrenzen, Details dazu bei ARGE Daten und bei Internetjurist.

Sind Verträge, die per E-Mail geschlossen werden, rechtsgültig?

Grundsätzlich bedürfen Verträge keiner besonderen Form, daher sind auch per e-Mmail (oder mündlich) geschlossene Verträge gültig. Eine Problematik kann sich jedoch aus der Beweisfähigkeit eines solchen Vertrages ergeben. Grundsätzlich gilt in Österreich jedoch die freie Beweiswürdigung des Richters, das heißt, es liegt im Ermessen des Richters, in wie weit er Beweise in Form von E-Mail-Ausdrucken bei seiner Rechtsfindung berücksichtigen wird. Auf jeden Fall wird das Vorliegen eines E-Mails ein starkes Indiz bezüglich des Inhalts des Vertrages sein.


Zum Inhaltsverzeichnis

 

 

Recht sicher? Gesetzliche Vorgaben zur Informationssicherheit

Michael Pilz, Veröffentlichung aus dem 2. Band des "Eisbergbuches" - Sicherheitsmanagement und das Eisbergprinzip

Anmerkung: Alle Referenzen auf Gesetze beziehen sich natürlich auf die jeweiligen österreichischen Gesetze, die Texte finden sie im Rechtsinformationssystem des Bundeskanzleramtes (Abfrage Bundesrecht).

Die Unterkapitel

Sicherheit und EDV-Sicherheit im Speziellen sind Thema in zahlreichen Fachgesprächen unter Informatikern, Sicherheitsbeauftragten und Security-Spezialisten. Seitens der Geschäftsführung eines Unternehmens wird die Verantwortung für die komplizierten und technischen Fragen der IT-Security gern in die EDV-Abteilungen abgeschoben. Dabei wird aber zumeist übersehen, dass Fragen der Sicherheit der EDV, der Hardware und der in der EDV gespeicherten Unternehmensdaten zu den Kompetenzen und Pflichten der Geschäftsführung gehören. Die Geschäftsführung hat dafür Sorge zu tragen, dass Sicherheitsaufgaben sorgfältig, genau und entsprechend den - soweit vorhanden - gesetzlichen Vorgaben erfüllt werden.

Der Umfang der vorhandenen gesetzlichen Normen, die Vorgaben für Datensicherheitsmaßnahmen machen, ist zwar gering und in vielen Fällen sind die Vorschriften erst auf den zweiten Blick erkennbar, ungeachtet dessen aber verbindlich. Führt die mangelhafte Ausrüstung eines Unternehmens mit den notwendigen Sicherheitsvorkehrungen zu Schäden oder Nachteilen, so ist die Unternehmensführung dafür verantwortlich, wenn den gesetzlichen oder technisch und wirtschaftlich erwartbaren Anforderungen nicht entsprochen wurde. Die erste Grundregel lautet daher: IT-Security ist Managementaufgabe.

Wer hat Anspruch auf Sicherheit ?

In einem Unternehmen sammeln sich große Mengen von sicherheitsrelevanten Daten an. Angefangen von der Unternehmensbuchhaltung, den Daten über Unternehmensmitarbeiter, Kundendaten und Steuerbelegen bis hin zu Telefonverbindungsdaten, Internet-Zugangsdaten und dergleichen. Es ergibt sich ein Mix an mehr oder weniger „sensitiven“ Datenbeständen. Eine sorgfaltswidrige Verwendung oder der sorglose Umgang mit diesen Daten kann die Rechte der unterschiedlichsten Beteiligten verletzen, die hier kurz aufgezählt werden sollen:

Anspruch auf Einhaltung der Mindestmaßnahmen moderner Datensicherheit hat zuerst das Unternehmen selbst. Keine Unternehmensdaten sollen dem Zugriff Dritter ungeschützt ausgesetzt sein. Eine Verletzung anwendbarer Sicherheitsnormen macht die handelnden Organe der Geschäftsführung, des Vorstandes, aber auch, unter Beachtung des Arbeitnehmerhaftpflichtgesetzes, die zuständigen Abteilungsleiter schadenersatzpflichtig.

Die zweite Gruppe jener, die Anspruch auf sichere Verwahrung ihrer Daten haben, sind die Mitarbeiter. Bei den über die Arbeitnehmer erhobenen Daten handelt es sich um personenbezogene Daten, die schon aus datenschutzrechtlichen Gründen nicht schrankenlos ermittelt oder weitergegeben werden dürfen. Hinzu kommen arbeitsrechtliche Vorschriften, welche die Erhebung dieser Daten oft vom Abschluss einer Betriebsvereinbarung nach § 96 Arbeitsverfassungsgesetz abhängig machen, wenn die technische Einrichtung geeignet ist, durch den Überwachungscharakter die Menschenwürde zu beeinträchtigen; dies ist schon bei normalerweise im Zuge von Internetzugängen anfallenden Log-Daten der Fall (siehe dazu Pilz/Obereder, Informationssicherheit und Recht, in Nagy/Wachmann, Informationssicherheit und das Eisbergprinzip, Teil 1, Wien 2003; Seiten 85ff).

Die dritte Gruppe, die Anspruch auf Informationssicherheit hat, sind Kunden und Geschäftspartner des Unternehmens. Schon auf Grund der bestehenden vertraglichen Beziehungen zu diesen natürlichen und juristischen Personen haben diese als unausgesprochene Nebenpflichten der geschlossenen Verträge Anspruch auf sichere Verwahrung der über sie ermittelten Daten, nach dem Datenschutzgesetz 2000 auch positiv normierte Ansprüche auf Schutz der personenbezogenen Daten. Insofern keine vertraglichen Beziehungen eingegangen werden, sondern etwa nur eine Vertragsanbahnung erfolgt, können vorvertragliche Schutzpflichten zur Anwendung gelangen; in jedem Falle gilt aber auch hier das Datenschutzgesetz (DSG 2000).

Das Datenschutzgesetz 2000 als Maßstab für Datensicherheitsmaßnahmen

Wichtigstes Materiengesetz, das den Umgang mit Sicherheitsvorschriften für die Verarbeitung von Daten behandelt, ist das Datenschutzgesetz 2000. Das DSG 2000 bezieht sich (ausschließlich) auf sogenannte personenbezogene Daten, das sind Angaben über natürliche oder juristische Personen oder Personengemeinschaften, deren Identität bestimmt oder bestimmbar ist. Die Bestimmbarkeit der Identität der Betroffenen ist gegeben, wenn mit einfachen, das heißt nicht nur aufwändigen oder gar rechtswidrigen Methoden deren Identität festgestellt werden kann. Die Logfiles eines PCs, etwa in Verbindung mit den Log-In Daten eines bestimmten Benutzers, können, in Deckung gebracht, Informationen darüber geben, wer wann welche Aktivitäten auf diesem PC oder über diesen PC ausgeführt hat. Es handelt sich dann um eindeutig personenbezogene Daten. Dabei kommt es nicht darauf an, in welcher Form Daten verarbeitet werden, selbst der herkömmliche Zettelkasten, in dem Daten lediglich nach alphabetischen oder sonstigen einfachen Kriterien aufgelistet sind, erfüllt den Datenbegriff des Datenschutzgesetzes.

Das DSG 2000 ist ungeachtet dessen aber auch für nicht-personenbezogene Daten von Bedeutung: Geht es um den Schutz anderer Daten, die auf Grund ihrer hohen Sensibilität (Betriebs- und Geschäftsgeheimnisse) vor dem Schutz Dritter gesichert werden sollen, liefert das DSG 2000 kraft seiner konkretisierenden gesetzlichen Anordnungen über Datensicherheitsmaßnahmen eine formidable Messlatte, die als erwartbarer Mindeststandard im Umgang mit diesen Daten ausdrücklich oder auch schlüssig vorausgesetzt werden kann. Mit anderen Worten: Wer sensible Daten, auch wenn sie nicht personenbezogen sind, verarbeitet, ist gegenüber den Berechtigten verpflichtet, Datensicherheitsmaßnahmen einzuhalten. Sofern es sich um nur einigermaßen sensible Daten handelt, sind die im DSG 2000 genannten Mindestmaßstäbe als Stand der Technik und erwartbare Untergrenze der Sicherheitsmaßnahmen von verständigen Vertragsparteien vorauszusetzen.

Das Grundrecht auf Datenschutz und sein Inhalt

Nach § 1 DSG 2000 hat jedermann das Recht auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Dieses Grundrecht ist verfassungsrechtlich abgesichert, gilt aber auf Grund der im DSG 2000 verankerten gesetzlichen Bestimmungen auch zwischen Privaten. Dem Recht auf Geheimhaltung wird ein Recht auf Auskunft des Betroffenen über die von einem Datenverarbeiter über ihn gespeicherten Daten, das Recht auf Richtigstellung allenfalls unrichtiger Daten sowie ein Recht auf Löschung der Daten, wenn kein rechtliches Interesse an der weiteren Speicherung und Verarbeitung besteht, beigestellt. Die Durchsetzbarkeit des Grundrechtes auf Datenschutz gegenüber jedem privaten Datenverarbeiter wird als sogenannte „unmittelbare Drittwirkung“ des Grundrechtes auf Datenschutz bezeichnet.

Das Datenschutzgesetz unterscheidet zusätzlich zwischen „normalen“ personenbezogenen Daten und besonders schutzwürdigen Daten, sogenannten „sensiblen Daten“, etwa über die ethnische Herkunft, die politische Meinung, die Gewerkschaftszugehörigkeit, die religiöse Überzeugung oder Gesundheitsdaten der Betroffenen. Diese sensiblen Daten dürfen nur unter besonderen Voraussetzungen überhaupt verarbeitet werden. Beim Umgang mit diesen Daten ist auf ein besonderes Schutzniveau zu achten.

Verantwortlich für die Einhaltung der Bestimmungen des Datenschutzgesetzes ist der jeweilige Auftraggeber. Auftraggeber ist jene Person oder Unternehmung, welche die Entscheidung über die Datenverarbeitung und ihren Umfang trifft, also in der Regel das Unternehmen selbst, das die Daten verarbeitet. Wird die EDV ausgelagert, kann es auch zu einem Auseinanderfallen zwischen der Person des Verarbeiters und dem Auftraggeber kommen. In diesem Fall spricht das Gesetz von Datenverarbeitungsdienstleistungen.

Der Auftraggeber der Datenverarbeitung hat die Datenanwendung zu registrieren, Vorkehrungen zur Datensicherheit zu ergreifen und ist gegenüber dem Betroffenen für die Einhaltung des Grundrechtes auf Datenschutz verantwortlich. Verletzungen der Verpflichtungen des Auftraggebers können von dem Betroffenen vor Gericht geltend gemacht werden, insbesondere Verletzungen der Ansprüche auf Geheimhaltung, Richtigstellung oder Löschung der Daten. Die Datenschutzkommission im Bundeskanzleramt ist nur mehr dann zuständig, wenn Gesetzesverstöße durch Auftraggeber des öffentlichen Bereichs verfolgt werden sollen oder das Auskunftsrecht durch einen (auch privaten) Auftraggeber verletzt wird.

Zulässigkeit der Datenverwendung nach dem DSG

Das DSG erlaubt jegliche Verarbeitung (Ermittlung, Speicherung, Weitergabe) von personenbezogenen Daten unter der Voraussetzung, dass diese Tätigkeit zulässigerweise ausgeübt wird. Eine Datenverwendung ist nur dann zulässig, wenn Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten der jeweiligen Auftraggeber umfasst sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt werden (§ 7 Abs. 1 DSG).

Unter gesetzlicher Zuständigkeit ist die grundsätzliche Erlaubtheit der Geschäftstätigkeit des Datenverarbeiters zu verstehen; also die Datenverarbeitung, welche zur Realisierung eines erlaubten Zwecks der Tätigkeit des Unternehmens durchgeführt wird. Darüber hinaus ist die sachliche Richtigkeit der Daten Voraussetzung der Verwendung. Sind die Daten unrichtig, kann der Betroffene den Anspruch auf Richtigstellung durchsetzen.

Letztlich dürfen die Daten nur solange verarbeitet und aufbewahrt werden, solange dies durch den angestrebten Zweck notwendig ist. Werden daher Kundendaten in eine Kundendatei einbezogen, so sind sie wieder aus der Datei zu löschen, wenn die Kundenbeziehung beendet ist und daher keinerlei Grund für eine weitere Verarbeitung und Aufbewahrung der Daten besteht. Werden Kundendaten nach Beendigung einer Geschäftsbeziehung weiterhin aufbewahrt, kann der Betroffene seinen Anspruch auf Löschung durchsetzen.

Datensicherheitsmaßnahmen nach den Datenschutzgesetz 2000

Gemäß DSG 2000 sind vom Auftraggeber einer Datenverarbeitung für alle Organisationseinheiten seines Unternehmens Datensicherheitsmaßnahmen zu ergreifen. Umfang und Zweck der Maßnahmen sind je nach Art der verwendeten Daten, dem Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und die wirtschaftliche Vertretbarkeit zu bemessen. Dabei ist sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und das die Daten Unbefugten nicht zugänglich sind. (Das Datenschutzgesetz, die dazu erlassenen Verordnungen, alle Formulare und zahlreiche nützliche Hinweise finden Sie auf der „der RIS website.

Das DSG 2000 schafft damit einen flexiblen Rahmen, der insbesondere vorsieht, dass Sicherheitsmaßnahmen um so sorgfältiger und mit erhöhtem wirtschaftlichen Aufwand zu treffen sind, wenn die Qualität der Daten sowie die Art der Datenverwendung erhöhte Maßnahmen nahe legen.

Zielsetzung aller vom DSG 2000 vorgeschriebenen Datensicherheitsmaßnahmen ist es, die Daten vor zufälliger oder absichtlicher Zerstörung oder Verlust zu sichern, die ordnungsgemäße und gesetzeskonforme Verwendung der Daten zu gewährleisten, den Zugang für Unbefugte, sei es tatsächlich physisch oder nur virtuell, zu verhindern und den Zugriff auf und die Verwendung der Daten auch nachträglich dokumentieren zu können.

Im Besonderen schreibt das DSG 2000 nachstehende Maßnahmen vor, die - abgestuft nach den erforderlichen Sicherheitslevels - ergriffen werden müssen.

  • a) Ausdrückliche Festlegung der Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und den Mitarbeitern.
  • b) Die Verwendung der Daten (Ermittlung, Verarbeitung, Weitergabe) ist stets an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden. Es ist daher sicherzustellen, dass keine Datenverarbeitung ohne zugrunde liegenden Auftrag erfolgt. Selbstverständlich können Aufträge auch generell und allgemein erteilt werden, es ist dann aber sicherzustellen, dass die erteilten Aufträge auch nicht überschritten werden.
  • c) Belehrung aller Mitarbeiter über die gesetzlichen Vorschriften des Datenschutzgesetzes und die innerbetrieblichen Datenschutzvorschriften und Datensicherheitsvorschriften. Diese Belehrung muss nachweislich erfolgen und sollte dokumentiert werden.
  • d) Eine klare Regelung der Zutrittsberechtigung zu den Räumlichkeiten des Datenverarbeiters muss vorliegen
  • e) Ebenso muss eine Regelung der Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor Einsicht und Verwendung durch Unbefugte gewährleistet sein.
  • f) Berechtigungen zum Betrieb der Datenverarbeitungsgeräte sind festzulegen und geeignete Vorkehrungen zu treffen, um jedes Gerät gegen unbefugte Inbetriebnahme abzusichern. In welcher Form dies erfolgt, stellt der Gesetzgeber frei.
  • g) Es ist ein Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, insbesondere Änderungen der Daten, Abfragen und Übermittlungen der Daten im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. Seitens der EDV-Abteilung wäre daher sicherzustellen, dass auch nachträglich festgestellt werden kann, auf welche Daten von wem wann zugegriffen wurde, ob es dabei zu einer Veränderung der Daten kam, wann Daten allenfalls weitergegeben worden sind und ob die innerorganisatorischen Datensicherheitsvorschriften dabei eingehalten wurden.
  • h) Über alle gemäß a) bis g) ergriffenen Maßnahmen ist eine entsprechende Dokumentation anzulegen und jederzeit für Kontrollzwecke bereit zu halten. Verboten ist es allerdings, auf diese Art und Weise ermittelte Kontrolldaten dazu zu verwenden, um Überwachungsmaßnahmen zu Lasten der Mitarbeiter durchzuführen.

Das DSG sieht weiters vor, dass Protokolle und Dokumentationen im oben genannten Sinne für wenigstens drei Jahre aufzubewahren sind. Die Datensicherheitsvorschriften sind betriebsintern zu veröffentlichen, wobei sicherzustellen ist, dass sich die Mitarbeiter über die für sie geltenden Regelungen informieren können.

Outsourcing der Datenverarbeitung

Das Datenschutzgesetz 2000 sieht die Möglichkeit vor, die Datenverarbeitung außer Haus zu geben. In vielen Unternehmungen ist dies heutzutage schon üblich, man denke nur an den Steuerberater, dem die Lohnbuchhaltung übertragen wird und dabei die entsprechenden Daten über die Mitarbeiter zur weiteren Verarbeitung überlassen werden. Dafür, aber auch für alle anderen Formen der Auslagerung von Datenverarbeitungsmaßnahmen, ist eine vertragliche Verarbeitung in schriftlicher Form zwischen dem Auftraggeber und dem sogenannten Datenverarbeitungsdienstleister notwendig. Eine Überlassung an den Dienstleister ist (nur dann) zulässig, wenn dieser Gewähr für rechtsmäßige und sichere Datenanwendung bietet. Der Auftraggeber muss sich von der Sicherheit der Datenverarbeitung vorab vergewissern und über die vom Dienstleister tatsächlich getroffenen Maßnahmen überzeugen (§ 10 Abs. 1 DSG).

Der Dienstleister ist verpflichtet, die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden, alle erforderlichen Datensicherheitsmaßnahmen, wie wir sie oben bereits für den Auftraggeber dargestellt haben, einzuhalten, weitere Dienstleister nur mit Einwilligung des Auftraggebers heranzuziehen und nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu retournieren, in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten.

Da der Auftraggeber sich von der Einhaltung der den Datenverarbeitungsdienstleister treffenden Pflichten persönlich zu überzeugen hat, ist es empfehlenswert, in der schriftlichen Vereinbarung mit dem Datenverarbeitungsdienstleister die entsprechenden Kontrollmöglichkeiten des Auftraggebers zu verankern; der Auftraggeber sollte intern dokumentieren, dass diese Kontrollmaßnahmen auch stattgefunden haben. Soweit dann auf Grund einer Pflichtenverletzung des Datenverarbeitungsdienstleisters Ansprüche Dritter gestellt werden, kann der Auftraggeber sich jeweils beim Dienstleister wegen Verletzung der ihn treffenden Pflichten regressieren.

Mehr zu den juristischen Aspekte von Outsourcing.

Überlassung der Daten ins Ausland

Zunehmend häufig stellt sich auch die Frage, ob Daten in das Ausland weitergegeben werden dürfen. Schon bei der bloßen Weitergabe unternehmensinterner Daten innerhalb einer Unternehmensgruppe (Konzern) kann dies zum Problem werden. Nach dem DSG 2000 gibt es für die Überlassung von Daten ins Ausland innerhalb der Europäischen Union keinerlei Beschränkungen. Auch für jene Länder, die nach einer vom Bundeskanzleramt zu erlassenden Verordnung „über ein angemessenes Schutzniveau verfügen“ gibt es keine Beschränkungen. Diese Verordnung heißt "Datenschutzangemessenheitsverordnung [DSAV], BGBL II Nr. 521/1999).

Derzeit sind nur die Schweiz und Ungarn als sichere Länder von der Verordnung enthalten. Alle anderen Übermittlungen von Daten ins Ausland bedürfen einer Genehmigung der Datenschutzkommission, sofern nicht eine der Ausnahmebestimmungen des § 12 Abs. 3 DSG 2000 zutrifft. Die wesentlichsten Ausnahmebestimmungen sind Daten, zu deren Übermittlungen die Betroffenen ihre Zustimmung erteilt haben oder die im Inland zulässigerweise veröffentlicht wurden. (Weitere Ausnahmen betreffen besondere Formen der Datenanwendungen, die Überlassung von Daten zur Durchsetzung von Rechtsansprüchen, zur Erfüllung vertraglich übernommener Pflichten, usw.

Mögliche Haftungen nach dem DSG

Nach § 33 DSG 2000 besteht ein Anspruch auf Schadenersatz der Betroffenen, wenn Daten schuldhaft entgegen den Bestimmungen des DSG 2000 verwendet werden. Ein derartiger Schadenersatzanspruch setzt den Eintritt eines Schadens voraus, der durch den Betroffenen oft schwer nachzuweisen sein wird. Aus diesem Grunde wurde für besondere Fälle, nämlich dann, wenn durch eine öffentlich zugängliche Datenverwendung von sensiblen Daten, Daten über die Kreditwürdigkeit des Betroffenen oder strafrechtlich relevante Daten schutzwürdige Geheimhaltungsinteressen des Betroffenen verletzt wurden, die zu seiner Bloßstellung führen, ein Anspruch auf angemessene Entschädigung unabhängig vom tatsächlichen Schadenseintritt festgelegt.

Für die Verpflichtung zum Schadenersatz haftet der Auftraggeber auch dann, wenn das schädigende Ereignis durch einen Mitarbeiter oder eine Mitarbeiterin herbeigeführt wurde. Das DSG normiert eine Beweislastumkehr, sodass die Haftung nur dann auszuschließen ist, wenn bei Feststehen einer Übertretung des Gesetzes der Beklagte nachweist, dass ihn an der Übertretung der Norm kein Verschulden trifft.

In den §§ 51 f DSG sind gerichtliche Strafbestimmungen normiert. So wird etwa die, in der Absicht, sich einen vermögensrechtlichen Vorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen, durchgeführte missbräuchliche Verwendung von personenbezogenen Daten, die dem Täter ausschließlich in seiner beruflichen Beschäftigung zugänglich geworden sind, mit Freiheitsstrafe bis zum einem Jahr bedroht. Auch im Strafgesetzbuch sind das missbräuchliche Abfangen von Daten, Datenbeschädigung und betrügerischer Datenverarbeitungsmissbrauch mit Freiheitsstrafe bedroht.

Sonstige rechtliche Konsequenzen für das Unternehmen

Die Nichteinhaltung angemessener Datensicherheitsmaßnahmen kann auch sonstige rechtliche Konsequenzen für das Unternehmen nach sich ziehen. In aller Regel ist die Einhaltung von Datensicherheitsmaßnahmen wenigstens vertragliche Nebenpflicht in geschäftlichen Beziehungen, in denen Zugang zu Daten gewährt wird.

Handelt es sich um sensible oder vertrauliche Daten, so wird vielfach mit Hilfe sogenannter Vertraulichkeitsvereinbarungen oder „Non Disclosure Agreements“ (NDAs) die Verpflichtung zur Geheimhaltung zum Datenschutz ausdrücklich festgeschrieben. In NDAs wird oft eine empfindliche Schadenersatzzahlung für jene Fälle vereinbart, in denen eine (auch nur fahrlässige) Weitergabe oder gar Veröffentlichung der relevanten vertraulichen Daten erfolgt. Dabei wird regelmäßig nicht auf das Verschulden abgestellt.

Trifft den Datenverarbeiter jedoch ein Verschulden an der mangelnden Datensicherheit und sei dies auch nur fahrlässig, so besteht nach allgemeinem Zivilrecht die Verpflichtung zum Schadenersatz. Der Kläger hat dabei nur nachzuweisen, dass der Schädiger anwendbare gesetzliche und/oder vertragliche Normen nicht eingehalten hat und ein Schaden tatsächlich entstanden ist. Die Einhaltung der Mindestschutzvorschriften des Datenschutzgesetzes wird - wie bereits oben gezeigt - in vielen Fällen als Handelsbrauch auch bei nicht personenbezogenen Daten obligatorisch sein.

Zusammenfassung

Die Implementierung von und das Einhalten der Datensicherheitsmaßnahmen in einem Unternehmen sind zentrale Aufgaben eines verantwortungsvollen Managements. Vorstand und Geschäftsführung eines Unternehmens sind kraft der sie treffenden kaufmännischen Sorgfaltspflicht zu entsprechenden Maßnahmen verpflichtet.

Das Datenschutzgesetz 2000 bezieht sich auf direkt oder indirekt personenbezogene Daten und schreibt konkrete Datensicherheitsmaßnahmen vor. Dabei wird der Grad des erforderlichen Aufwandes abgestuft nach Art und Umfang der verwendeten Daten und dem Zweck der Datenverarbeitung sowie der Wirtschaftlichkeit der zu ergreifenden Maßnahmen. Auch dann, wenn es sich nicht um personenbezogene Daten handelt, sind die Leitlinien des Datenschutzgesetzes als Mindestmaßstab analog oder durch vertragliche Vereinbarung in Geschäftsbeziehungen anzuwenden.

Aus rechtlicher Sicht ist es daher dringend zu empfehlen, Datensicherheitsmaßnahmen nach dem Stand der Technik im Unternehmen zu ergreifen und die ergriffenen Maßnahmen zu dokumentieren. Eine Verletzung von Datensicherheitsmaßnahmen kann neben Schadenersatzverpflichtungen auch unmittelbare Haftungen der verantwortlichen Unternehmensmitarbeiter (EDV-Abteilungsleiter) und vor allem der Geschäftsführungsorganwalter (Vorstand, Geschäftsführer, Prokuristen) nach sich ziehen.



Zum Gesamtinhaltsverzeichnis


Home

 

Copyright-Hinweis:
Das Copyright des Materials auf dieser Seite liegt bei Michael Pilz. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.

Außerdem gelten in rechtlichen Fragen immer die Warnhinweise, wie ich sie hier von Wikipedia übernommen habe:

  • Verwenden Sie daher die hier bereitgestellten Informationen niemals als alleinige Quelle für rechtsbezogene Entscheidungen und ziehen Sie weitere Informationsquellen hinzu.
  • Bitte wenden Sie sich daher wegen Ihres Anliegens stets an einen Anwalt oder an eine andere qualifizierte Beratungsstelle!
  • Beachten Sie, dass in vielen Rechtsangelegenheiten Fristen laufen, deren Versäumen Ihnen einen Nachteil bringen kann. Sie sollten sich daher bei einem konkreten Rechtsproblem nicht nur auf die alleinige eigene Suche im Internet verlassen.