Das Dokument bietet einen Überblick über Cybercrime und Datenschutz, einschließlich der rechtlichen Rahmenbedingungen für Online-Delikte und Datensicherheit in Österreich. Es erläutert die gesetzlichen Grundlagen des Datenschutzes, die Rechte der Betroffenen sowie die kommende Datenschutz-Grundverordnung (DSGVO) und deren Auswirkungen. Zudem werden praktische Maßnahmen zur Verbesserung des Datenschutzes in Unternehmen vorgeschlagen.

1. Cybercrime &
Datenschutz
Wie kann ich mich schützen?
RA Mag. Michael Lanzinger

2. Magister Who?
RA Magister Michael Lanzinger
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at
Seit 01.10.2011 externer Lektor an der UNI Linz & Uni Graz
LVAs im Bereich Zivil- & Internetrecht
Seit 01.02.2014 WiFi- & BFI-Trainer
Seit 01.07.2016 selbständiger Rechtsanwalt in Wels und
Mitglied im Verein für Datenschutz und IT-Sicherheit

3. Zu Beginn …
Es gilt (grundsätzlich):
‚Online wie Offline‘

4. Cybercrime?

5. Cybercrime?
Strafrecht im Web
• Offline-Delikte können auch im Web begangen werden
 Betrug (va bei Verträgen im Web)
 Beleidigung, Verleumdung & üble Nachrechte (zB auf sozialen
Netzwerken)
 Wiederbetägigung
 § 91 UrhG: Eingriff in fremdes Recht (Privatanklage)
 Illegale Pornographie
• Nunmehr auch eigene Delikte, welche auf das Web
ausgerichtet sind

6. Cybercrime?
Strafrecht im Web
• Web-Delikte
 § 107a StGB: Beharrliche Verfolgung
 § 107c StGB: ‚Cybermobbing‘
• Computer-Delikte
 § 118a StGB: Hacking
 § 126a StGB: Datenbeschädigung
 § 126b StGB: Störung der Funktionsfähigkeit eines
Computersystems
 § 126c StGB: Missbrauch von Computerprogrammen oder
Zugangsdaten

7. Cybercrime?
Cybercrime!
• Va Hacking hier relevant, da es um die widerrechtliche
Verwertung/Verwendung/Verbeitung/Erwerb von Daten
geht
• Jedoch auch Folgen für Unternehmen
• Schadenersatz, wenn kein ausreichender Schutz gegeben war
• Konsequenzen nach Datenschutzgesetz (DSG)
• In D: IT-SicherheitsG; soll Cyberattacken auf ‚kritische
Infrastrukturen‘ verhindern helfen (in Ö geplant)

8. Datenschutzrecht (derzeit)

9. DSG 2000
Grundrecht auf Datenschutz
• § 1 Abs 1 DSG regelt das Grundrecht auf Datenschutz
inhaltlich (Verfassungsbestimmung)
– Jeder hat Anspruch auf Geheimhaltung seiner Daten,
insbesondere hinsichtlich Privat- & Familienleben
– Es muss hierfür ein schutzwürdiges Interesse bestehen, dies ist
zB nicht gegeben, wenn Daten anonym sind
– Abs 2 regelt die Möglichkeit der Beschränkung des
Grundrechtes durch den Gesetzgeber (zB wegen Schutz der
Menschenrechte)
• §§ 2 f DSG regeln Zuständigkeit & Anwendungsbereich

10. DSG 2000
Verwendung von Daten
• §§ 6 ff DSG regeln die Verwendung von Daten
– Datenverwendung nur nach dem Gesetz, zu eindeutigen
Zwecken und nur im Rahmen des Notwendigen
– Geheimhaltungsinteressen des Betroffenen sind zu wahren
– Auftraggeber muss über die entsprechenden Befugnisse zur
Verarbeitung verfügen
• §§ 8 f DSG regelt überdies das Geheimhaltungsinteresse
bei sensiblen & nicht-sensiblen Daten

11. DSG 2000
Verwendung von Daten
• Geheimhaltungsinteresse bei sensiblen & nicht-
sensiblen Daten liegt insbesondere nicht vor, wenn der
Betroffene sie selbst öffentlich macht (vgl. Soziale
Netzwerke) oder sie ihm nicht zugeordnet werden
können
• Kein Verletzung des Interesses außerdem, wenn
Verarbeitung lebensnotwendig ist und Zustimmung nicht
rechtzeitig eingeholt werden kann

12. DSG 2000
Datensicherheit
• §§ 14 ff DSG regeln die Datensicherheit
– Der Datenverwender bzw Dienstleister hat die Daten nach dem
technisch und wissenschaftlich aktuellen Stand zu sichern und
vor Zugriffen (Hacks) zu schützen
– Schutz etwa durch Zugriffsberechtigungen, Programme und
Protokollierung der Zugriffe
• Überdies unterliegen der Datenverwender und dessen
Mitarbeiter nach § 15 DSG dem Datengeheimnis

13. DSG 2000
Publizität von Datenanwendungen
• §§ 16 ff DSG regeln die Publizität von
Datenanwendungen
– Die Datenschutzbehörde hat ein Register über die Auftraggeber
der Datenanwendungen zu führen, in welches Einsicht
genommen werden kann
– Auch hat jeder Auftraggeber die Datenanwendung vor Beginn zu
melden, insbesondere bei Verarbeitung sensibler Daten (DVR-
Nummer)

14. DSG 2000
Publizität von Datenanwendungen
• Ausnahme zB bei öffentlich bekannten Daten oder einer
‚Standardanwendung‘ entsprechen, welche qua
Verordnung als solche vorgesehen ist
• § 19 DSG regelt Inhalt einer solchen Meldung:
 Name und Anschrift des Auftraggebers
 Nachweis über die rechtliche Befugnis zur Verarbeitung
 Zweck der Datenanwendung
 Kreis der Betroffenen
 Allgemeine Angabe über die getroffenen Maßnahme der
Datensicherheit

15. DSG 2000
Rechte des Betroffenen
• §§ 26 ff DSG regeln die Rechte des von
Datenanwendungen Betroffenen
– Jedem Betroffenen kommt ein Auskunftsrecht zu, wenn diese
schriftlich verlangt wird und der Betroffene seine Identität
nachweisen kann
– Ausgenommen sind Auskünfte die im überwiegenden Interesse
geheim gehalten werden müssen (zB Bundesheer) oder die
Geheimhaltung dem Schutz des Betroffenen selbst dient
– Weiters kann jeder Betroffene seine verarbeiteten Daten löschen
und/oder richtigstellen bzw aktualisieren lassen

16. Datenschutzrecht (bald)

17. DatenschutzgrundVO
Gemeinschaftsrecht im Datenschutz
• EU-VO 2016/679 vom 27.4.2016 zum Schutz der
Verarbeitung personenbezogener Daten und zum freien
Datenverkehr
• Gilt ab 25. Mai 2018 direkt und unmittelbar (auch) in
Österreich

18. DatenschutzgrundVO
Was ändert sich?
• Grundsätze des Datenschutzes (zB Zweckbindung,
Datensparsamkeit) enthalten und weiterentwickelt
• DSGVO gilt in der europäischen Union sowie für
Unternehmen, die auf dem europäischen Markt tätig sind
• Anwendbar auf personenbezogene Daten außer diese
betreffen persönlichen/familiären Bereich (sog.
‚Haushaltsausnahme‘)

19. DatenschutzgrundVO
Was ändert sich?
• Recht auf Vergessenwerden
– Erweiterung des Löschungsanspruches
– ‚Weitergabe‘ des Wunsches auf Löschung durch
Datenverarbeiter
• Datenportabilität = gewünschte Datenweitergabe in
strukturierter Form (zB bei Bankwechsel)
• Profiling = ‚Persönlichkeitsbewertung‘
– Besondere Auskunftspflicht auch über technische Aspekte
– Besonderes Widerspruchsrecht des Betroffenen

20. DatenschutzgrundVO
Was ändert sich?
• Privacy by Design/by Default = Verarbeitung möglichst
weniger Daten als ‚Grundeinstellung‘
• Data Breach Notification Duty
– Meldung bei Schutzverletzung an die Aufsichtsbehörde binnen
72 Stunden
– Pflicht zur umfassenden Erteilung von Informationen zur
Verletzung
• Datenschutz-Folgenabschätzung = Verarbeiter muss die
Folgen der Daten-Verarbeitung für die Zukunft
einschätzen

21. DatenschutzgrundVO
Was ändert sich?
• Datenschutzbeauftragter
– Bei Datenverarbeitung durch Behörden/öffentliche Stellen
– Bei umfangreicher, regelmäßiger Beobachtung von Personen als
Kerntätigkeit
– Bei Verarbeitung von sensiblen Daten als Kerntätigkeit
• Behördliches On-Stop-Shop-Prinzip
• Höhere Strafen
– Bußgelder: 4% globaler Jahresumsatz oder bis € 20 Mio.
– Betroffene kann sich an Behörde oder Gericht wenden

22. Datenschutzrecht (praktisch)

23. Im Unternehmen
Was kann man gleich tun?
• Clean Desk Policy
– MitarbeiterInnen auf ‚analogen Datenschutz‘ schulen
– Keine sensiblen Dokumente frei zugänglich am Arbeitsplatz
– Computer/Smartphones/Tablets sperren
• Security Policy
– ‚lebendes Dokument‘ welches Unternehmenspolitik zum
Datenschutz & IT-Sicherheit abbildet
– zB Grundsätze zur Passwortvergabe, Umgang mit Devices im
Außendienst, Verwendung von privaten Devices

24. Im Unternehmen
Was kann man gleich tun?
• Datenschutzerklärung – Warum?
– Bei Websites relevant
– Va Cookie-Erklärung nach TKG gefordert
– Weiters: Impressumspflichten nach ECG
• Datenschutzerklärung - Inhaltlich
– Wer verarbeitet die Daten/erfolgt eine Weitergabe?
– Welche Daten werden wie/zu welchem Zweck verarbeitet?
– Welche Cookies/Plugins werden verwendet?
– Wo kann ich mich über meine Daten informieren bzw diese
löschen lassen?

25. DAVITS
Verein für Datenschutz und IT-Sicherheit
• https://www.davits.eu/
• https://www.facebook.com/davits.eu/

26. Credits
Vielen Dank!
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at