Am 12.10.2017 konnte ich im Rahmen des Unternehmenskongresses am Flughafen Hörsching des Wirtschaftsverbandes OÖ (http://www.wirtschaftsverband-oberoesterreich.at) einen Vortrag zum Thema Cybercrime, Content-Haftung und Datenschutz halten. Ich darf mich für die Einladung und die spannenden Diskussionen bedanken und stelle hier nun die Vortragsfolien zur Verfügung.
2. Magister Who?
RA Magister Michael Lanzinger
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at
Seit 01.10.2011 externer Lektor im Bereich Zivil- & Internetrecht
Seit 01.02.2014 WiFi-Trainer
Seit 01.07.2016 selbständiger Rechtsanwalt in Wels (OÖ) mit
Schwerpunkt im IT- und Urheberrecht
Seit 01.05.2017 Senior Berater bei O.P.P.-Beratungsgruppe
(Datenschutzrecht)
3. Zu Beginn …
Es gilt (grundsätzlich):
‚Online wie Offline‘
5. Cybercrime?
Strafrecht im Web
• Offline-Delikte können auch im Web begangen werden
Betrug (va bei Verträgen im Web)
Beleidigung, Verleumdung & üble Nachrechte (zB auf sozialen
Netzwerken)
Wiederbetägigung
§ 91 UrhG: Eingriff in fremdes Recht (Privatanklage)
Illegale Pornographie
• Nunmehr auch eigene Delikte, welche auf das Web
ausgerichtet sind
6. Cybercrime?
Strafrecht im Web
• Web-Delikte
§ 107a StGB: Beharrliche Verfolgung
§ 107c StGB: ‚Cybermobbing‘
• Computer-Delikte
§ 118a StGB: Hacking
§ 126a StGB: Datenbeschädigung
§ 126b StGB: Störung der Funktionsfähigkeit eines
Computersystems
§ 126c StGB: Missbrauch von Computerprogrammen oder
Zugangsdaten
7. Cybercrime?
Cybercrime!
• Va Hacking hier relevant, da es um die widerrechtliche
Verwertung/Verwendung/Verbreitung/Erwerb von Daten
geht
• Jedoch auch Folgen für Unternehmen
• Schadenersatz, wenn kein ausreichender Schutz gegeben war
• Konsequenzen nach Datenschutzgesetz (DSG)
• In D: IT-SicherheitsG; soll Cyberattacken auf ‚kritische
Infrastrukturen‘ verhindern helfen (in Ö geplant)
9. Verantwortlichkeit für Inhalt
Es gilt (grundsätzlich):
Jeder ist für den auf eigenen Webseiten
publizierten Inhalt selbst verantwortlich
10. Verantwortlichkeit für Inhalt
Provider
• Access-Provider (Zugangsanbieter): Vermittler des
Internetzugangs (zB Telekommunikationsunternehmen)
• Content-Provider (Inhaltsanbieter): Person, die eigene
Inhalte zur Verfügung stellt
• Host-Provider: Anbieter von Internet-Ressourcen
(Speicherplatz, Rechenzeit, Adressen), ‚Unterbringer‘
von Homepages usw
11. Verantwortlichkeit für Inhalt
Providerverantwortlichkeit
• § 13 ECG: Access-Provider an sich nicht verantwortlich,
wenn Informationen nur ‚durchgeleitet‘ werden (dh auch
zwischengespeichert und nicht verändert)
• §§ 15 & 16 ECG: Host-Provider nicht verantwortlich,
wenn Informationen nicht verändert werden und
unzulässige Daten sofort nach bekanntwerden gelöscht
werden
12. Verantwortlichkeit für Inhalt
Providerverantwortlichkeit
• § 18 ECG: Access- und Host-Provider müssen Sites
nicht von sich aus überwachen bzw überprüfen
• Host-Provider ist für seine Inhalte bzw Dritt-Inhalte auf
seiner Site (auch Kommentare, Foren) verantwortlich
• Insbesondere bei Foren jedoch der Betreiber eher als
Host-Provider anzunehmen
13. Verantwortlichkeit für Inhalt
Verantwortlichkeit für Links
• § 17 ECG: Betrifft va die Verantwortlichkeit für Links auf
der eigenen Homepage
• Keine Verantwortung für den Inhalte der Dritt-
Homepage, wenn keine Kenntnis von der
Rechtswidrigkeit und bei Kenntnis sofortige Entfernung
des Links
• Achtung!: Keine generelle Ausnahme (zB im
Impressum) möglich
• Ausnahme: Dritt-Homepage nicht zu unterscheiden
14. Verantwortlichkeit für Inhalt
Verantwortlichkeit von Suchanbietern
• § 14 ECG: Betrifft die Verantwortlichkeit von
Suchmaschinenbetreibern
• Keine Verantwortung für den Inhalte der Dritt-
Homepage, wenn Übermittlung nicht veranlasst sowie
Site nicht ausgewählt oder verändert
• Problem hier insbesondere bezahlte Suchergebnisse
(‚Ad-Words‘), da so eigentlich Sites ausgewählt
• Site-Betreiber darf Suchanbieter nicht unterstehen
15. Verantwortlichkeit für Inhalt
Zur Auskunftspflicht von Providern
• Geregelt in § 18 ECG
• Betrifft die Auskunftspflicht va im strafrechtlichen Bereich
bzw gegenüber Verwaltungsbehörden
• Insbesondere IP-Adressen können im Zivilverfahren
daher nicht ermittelt werden, hier wäre Strafanzeige zB
wegen Beharrlicher Verfolgung/Stalking (§ 107a StGB)
notwendig
• Keine generelle Überwachungs- bzw Speicherpflicht der
Provider
16. Verantwortlichkeit für Inhalt
Disclaimer?
• Disclaimer = Haftungsausschluss
• Im österreichischen Recht nicht vorgesehen bzw nicht
notwendig
• § 17 ECG regelt, dass ein genereller Ausschluss nicht
möglich
• ‚Disclaimer‘ hat in der Praxis sogar eher umgekehrten
Effekt, dh es entsteht Verdacht, dass über (unzulässige)
fremde Inhalt Kenntnis besteht
17. Verantwortlichkeit für Inhalt
In other News … – EuGH in C-160/15
• Links können Urheberrecht verletzen
• Grundsätzlich betrifft Verlinkung das Urheberrecht nicht
• Jedoch stellt Link ‚öffentliche Zugänglichmachung‘ dar
und – va bei kommerziellen Websites – kann verlangt
werden, dass Quelle vorher auf Zulässigkeit überprüft
wird
• Erfolgt urheberrechtswidrige Verlinkung daher
wissentlich, ist dies als Verstoß zu werten
18. Verantwortlichkeit für Inhalt
IN A NUTSHELL
• Grundsätzlich jeder für Inhalte selbst verantwortlich
• Besonderheiten bei
Access- und Content-Providern
Suchmaschinenanbietern
• Probleme mit Datenschutz & Content va im Bereich der
Sozialen Netzwerke
20. DatenschutzgrundVO
Gemeinschaftsrecht im Datenschutz
• EU-VO 2016/679 vom 27.4.2016 zum Schutz der
Verarbeitung personenbezogener Daten und zum freien
Datenverkehr
• Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in
Österreich
21. DatenschutzgrundVO
Was ändert sich?
• Recht auf Vergessenwerden
– Erweiterung des Löschungsanspruches
– ‚Weitergabe‘ des Wunsches auf Löschung durch
Datenverarbeiter
• Datenportabilität = gewünschte Datenweitergabe in
strukturierter Form (zB bei Bankwechsel)
• Profiling = ‚Persönlichkeitsbewertung‘
– Besondere Auskunftspflicht auch über technische Aspekte
– Besonderes Widerspruchsrecht des Betroffenen
22. DatenschutzgrundVO
Was ändert sich?
• Privacy by Design/by Default = Verarbeitung möglichst
weniger Daten als ‚Grundeinstellung‘
• Data Breach Notification Duty
– Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen
72 Stunden
– Pflicht zur umfassenden Erteilung von Informationen zur
Verletzung
• Datenschutz-Folgenabschätzung = Verarbeiter muss die
Folgen der Datenverarbeitung für die Zukunft
einschätzen
23. DatenschutzgrundVO
Was ändert sich?
• Datenschutzbeauftragter
– Bei Datenverarbeitung durch Behörden/öffentliche Stellen
– Bei umfangreicher, regelmäßiger Beobachtung von Personen als
Kerntätigkeit
– Bei Verarbeitung von sensiblen Daten als Kerntätigkeit
• Behördliches On-Stop-Shop-Prinzip
• Höhere Strafen
– Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio.
– Betroffene kann sich an Behörde oder Gericht wenden
25. Im Unternehmen
Was kann man gleich tun?
• Clean Desk Policy
– MitarbeiterInnen auf ‚analogen Datenschutz‘ schulen
– Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz
– Computer/Smartphones/Tablets sperren
• Security Policy
– ‚lebendes Dokument‘ welches Unternehmenspolitik zum
Datenschutz & IT-Sicherheit abbildet
– zB Grundsätze zur Passwortvergabe, Umgang mit Devices im
Außendienst, Verwendung von privaten Devices
26. Im Unternehmen
Was kann man gleich tun?
• Datenschutzerklärung – Warum?
– Bei Websites relevant
– Va Cookie-Erklärung nach TKG gefordert
– Weiters: Impressumspflichten nach ECG
• Datenschutzerklärung - Inhaltlich
– Wer verarbeitet die Daten/erfolgt eine Weitergabe?
– Welche Daten werden wie/zu welchem Zweck verarbeitet?
– Welche Cookies/Plugins werden verwendet?
– Wo kann ich mich über meine Daten informieren bzw diese
löschen lassen?