Internet & Recht Home
Domain Urh/MarkR Wettbew. E-Comm. Signatur Zahlung MedienR
E-Mail Linkrecht Diensteanbieter Arbeit Form.R/IPR Straf Sonstiges hard+soft

Datenschutz im Internet

Einführung  -  EU-Recht  -  Geltendmachung  -  Problemfälle  -  technischer Schutz - Entsch Ö  -  Entsch D  -  Literatur  -  Links

letzte Änderung 25.5.2009

Einführung

Der Datenschutz führt in Österreich, wie auch in vielen anderen Ländern, eher ein Stiefmütterchen-Dasein. Der wahllose Gebrauch von persönlichen Daten scheint für viele kein Problem zu sein. Durch das Internet bekommt aber der Datenschutzgedanke aufgrund der fast unbegrenzten Möglichkeit der Datensammlung und -verknüpfung ein neues Aufgabengebiet. Auch die Einsicht in die Notwendigkeit einer Begrenzung setzt sich mehr und mehr durch. 

Österreich hat mit dem Datenschutzgesetz 2000 eine sehr aktuelle Rechtsnorm. Das DSG 2000 regelt nicht nur die Verwendung personenbezogener Daten, die Auskunftsrechte Betroffener, die Zulässigkeit der Weitergabe von Daten und den Umgang mit Daten in Netzwerken, sondern enthält auch Bestimmungen zur Datensicherheit und zu Kontroll- und Rechtsschutzmaßnahmen und sieht empfindlichen Strafen bei der missbräuchlichen Verwendung von Daten vor. Das Grundrecht auf Datenschutz ist als Verfassungsbestimmung ausgebildet § 1 DSG 2000).

Geschützt sind personenbezogene Daten. Weitere Voraussetzung ist das Vorliegen eines schutzwürdigen Interesses. Ein solches liegt dann nicht vor, wenn die Daten öffentlich sind (also etwa sich aus dem Telefonbuch ergeben.

Personenbezogene Daten sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; ,,nur indirekt personenbezogen'' sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.

Sensible Daten (besonders schutzwürdige Daten) sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben.

Im April 2008 ist die DSG-Novelle 2008 (Entwurf, 182/ME Erläuterungen) in Begutachtung gegangen. Wesentliche Eckpunkte sind die gesetzliche Regelung für Videoüberwachungen durch Private, die Installierung eines Datenschutzbeauftragten in Betrieben sowie die einheitliche Zuständigkeit des Bundes für Datenschutzfragen.

Eine ausführliche Darstellung des österreichischen Datenschutzgesetzes und Datenschutzrechtes finden Sie bei 

Bis zum Relaunch der Website werden in diesem Kapitel auch Entscheidungen zu anderen Grundrechten, insbesondere zum Schutz der Privatsphäre, wiedergegeben. Es ist ein gewisses Phänomen, dass sich die Datenschützer zunehmend um verschiedene Grundrechte kümmern, die ansonsten keine "Lobby" haben. Insbesondere betrifft dies den immer massiver werdenden Bereich der öffentlichen und privaten Überwachung mittels Video (zur Videoüberwachung siehe auch im Kapitel Urheberrecht) und Datenspeicherung (zur Vorratsdatenspeicherung siehe Kapitel Diensteanbieter).

    Im Mai 2009 wurde die sehr umfangreiche DSG-Novelle 2010 zur Begutachtung verschickt.

I4J-Kapiteltrenner

Der europarechtliche Hintergrund

Datenschutzrichtlinie 1995

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr schreibt vor, dass die Mitgliedstaaten die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten und insbesondere ihr Recht auf Privatsphäre sicherstellen, um in der Gemeinschaft den freien Verkehr personenbezogener Daten zu gewährleisten.

Datenschutzrichtlinie 1997

Die Richtlinie 97/66/EG des Europäischen Parlamentes und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation hat die Grundsätze der Richtlinie 95/46/EG in spezielle Vorschriften für den Telekommunikationssektor umgesetzt.

Datenschutzrichtlinie für elektronische Kommunikation

Die Richtlinie des Europäischen Parlamentes und des Rates 2002/58/EG vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), die von den Mitgliedstaaten bis 31.10.2003 umzusetzen war, hat die Richtlinie 97/66/EG an die Entwicklungen der Märkte und Technologien für elektronische Kommunikationsdienste angepasst, um den Nutzern öffentlich zugänglicher elektronischer Kommunikationsdienste unabhängig von der zugrunde liegenden Technologie den gleichen Grad des Schutzes personenbezogener Daten und der Privatsphäre zu bieten. Die frühere Richtlinie wurde daher aufgehoben und durch die vorliegende Richtlinie ersetzt. Sie bringt neue Regelungen über die Speicherung personenrelevanter Daten, vor allem zu Zwecken der Strafverfolgung. Daneben sieht Art. 5 Abs. 3 vor, dass Cookies nur verwendet werden dürfen, wenn die Nutzer umfassend über Art und Zweck der Verwendung informiert werden. Dasselbe gilt gem. Art. 6 Abs. 3 für Logfiles, was allerdings jeweils voraussetzt, dass diese personenbezogen sind, was nicht immer der Fall ist. Allerdings kann von den Providern unter Umständen, wenn sie die dafür relevanten Verbindungsdaten speichern, jederzeit ein Personenbezug hergestellt werden.

Vorratsdatenspeicherung-Richtlinie

Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG führt zu einem Paradigmenwechsel im Datenschutz. Hier geht es nicht mehr darum, dass unter bestimmten einschränkend auszulegenden Bedingungen Daten gespeichert werden dürfen, sondern um ein Müssen für allfälligen künftigen Bedarf durch die Strafjustiz. Die Richtlinie war hinsichtlich der Telefoniedaten bis 15.9.2007 umzusetzen; die Umsetzung wurde aber vorerst auf unbestimmte Zeit aufgeschoben; hinsichtlich der Internetdaten hat Österreich von der Möglichkeit der Aufschiebung bis 15.3.2009 Gebrauch gemacht.

I4J-Kapiteltrenner

Geltendmachung einer Datenschutzverletzung

Zuständig bei Verletzungen des DSG 2000 ist die Datenschutzkommission, wenn es um eine Behörde geht, bei privaten Datenanwendern sind die Zivilgerichte zuständig; für das Begehren auf Erteilung von Auskunft ist immer die Datenschutzkommission zuständig. Neben Ansprüchen auf Unterlassung der Verwendung, Richtigstellung oder Löschung von Daten und Schadenersatz kann eine Verletzung des DSG auch in einem Verfahren wegen unlauteren Wettbewerbes unter dem Aspekt der Sittenwidrigkeit (§ 1 UWG - Wettbewerbsvorsprung durch Rechtsbruch) geltend gemacht werden; Voraussetzung ist aber, dass ein Wettbewerbsverhältnis zwischen Kläger und Beklagtem besteht.

I4J-Kapiteltrenner

Spezielle Problemfälle im Internet

Die speziellen Techniken des Internet ermöglichen es in einer noch nie dagewesenen Weise Daten über die Benutzer zu sammeln, zu verknüpfen und in verschiedensten Richtungen auszuwerten, ohne dass dies den Benutzern bewusst wird. Im Folgenden werden einige dieser Besonderheiten dargestellt:

Cookies

Cookies sind Textdateien, in denen ein Webserver Informationen über den Surfer auf dessen PC (Festplatte, bei Windows Systemen im Windows Systemverzeichnis c:\windows) abspeichert und beim nächsten Besuch der Seite von dort wieder abruft. Der Hauptzweck der Cookies (Plätzchen) ist, den Benutzer zu kennzeichnen und kundengebundene Netzseiten für ihn vorzubereiten.  Wenn man nächstes Mal zur gleichen Website kommt, schickt die Datenbanksuchroutine das Cookie zum Webserver und dieser kann den Besucher identifizieren. Die Daten, die im Cookie gespeichert sind, können aus einem Formular stammen, das der Besucher der Website ausgefüllt hat - dann ist beim nächsten Besuch auch eine Begrüßung mit Namen möglich - oder aber einfach aus dem durch die Klicks auf der Website geschlossenen Interesse - dann bezieht sich die Personifizierung nur auf den letzten Bediener dieses Computers, aber nicht auf eine bestimmte Person.

So unterschiedlich wie der Verwendungszweck ist auch die datenschutzrechtliche Beurteilung der Cookies. Da sie ein erhebliches Missbrauchspotential aufweisen (bis hin zum Ausspionieren des Surfers), gibt es auch immer wieder Überlegungen in Richtung einer gesetzlichen Regelung; siehe c't-Artikel vom 2.11.2001; sie spielen auch eine Rolle in der Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, die am 30.5.2002 vom EU-Parlament beschlossen wurde und bis Ende 2003 umgesetzt werden soll.

Grafik von Robert Fucik

Grafik: Robert Fucik

Logfiles

Man unterscheidet zwischen Logfiles von Webservern und Mailservern, systemnahen Logfiles und Netzwerküberwachungstools. Es handelt sich dabei jeweils um Dateien, in denen Verbindungs- und Zustandsdaten eines Servers gespeichert werden. Sie dienen in der Regel der technischen Überwachung von Systemen (Auslastung, Optimierung, Fehlererkennung, Sicherheit) und sind dazu unbedingt notwendig. Allerdings können sie auch dazu verwendet werden, die Benutzer des Systems auszuspionieren. Sie können auch aus datenschutzrechtlichen Gründen bedenklich sein (siehe gleich bei den Web-Bugs). Problematisch können Logfiles vor allem dann werden, wenn sie über einen längeren (als den technisch notwendigen) Zeitraum aufbewahrt und ausgewertet werden.

Web-Bugs

Auch "Clear Gif" genannt; unsichtbare Grafiken, meist in der Größe von 1Pixel in der Farbe des Hintergrundes oder durchsichtig, die den Betreibern von Websites Informationen über das Surferverhalten der Nutzer liefern. Die Grafik befindet sich nicht auf demselben Webserver wie die Website, sondern wird von einem dritten Server geladen. Während das Bild von dort geholt wird, werden mittels Skript oder Applet Benutzerdaten zum Web-Bug-Server übertragen und dort ausgewertet; dies ist die eigentliche Aufgabe des Web-Bugs. So lässt sich das Besucherverhalten sehr genau ausspionieren. Die Auswertung liefert ähnliche Daten wie die Auswertung des Logfiles des Webservers. Während mit dem Weblog aber nur die Webs auf dem konkreten Server ausgewertet werden können, können mit einem System von Web-Bugs ganze Systeme von Websites überwacht werden. Voraussetzung ist aber, dass auf jeder einzelnen Seite einer Website ein derartiger Spion gesetzt ist.

Web-Bugs sind aus Sicht des Datenschutzes bedenklich, soweit dabei personenbezogene Daten gesammelt werden. Dies ist über die Benutzeradresse meist nicht möglich, weil es sich bei der IP-Adresse um eine maschinenbezogene Adresse handelt und der einzelne Internetuser über seinen Provider keine fixe IP-Adresse zugeteilt bekommt, sondern bei jedem Einloggen eine andere, nach dem Zufallsprinzip ausgewählte, sodass nur der Provider jeweils weiß, welcher Kunde gerade welche IP-Adresse hat. Wenn die Seite aber auch Cookies verwendet, was bei mehr als der Hälfte aller Websites der Fall ist, und der Besucher schon einmal Namen oder E-Mail-Anschrift angegeben hat (etwa in einem Webshop), ist der Besucher damit eindeutig identifizierbar. In diesem Fall werden die Daten, die durch Web-Bugs gesammelt werden, zu personenbezogene Daten. Das Sammeln personenbezogener Daten ist aber nur nach den Bestimmungen des Datenschutzgesetzes zulässig. Auf jeden Fall muss der Besucher darüber aufgeklärt werden, was mit diesen Daten geschieht. Ein Verstoß gegen das Datenschutzgesetz kann aber auch von einem Konkurrenten als Wettbewerbsverstoß (§ 1 UWG - Wettbewerbsvorsprung durch Rechtsbruch) geltend gemacht werden. 

Data Mining

Unter dem Begriff "Data Mining" versteht man die von vielen Unternehmen  - bereits außerhalb des Internets - geübte Praxis, persönliche Daten von Kunden zu sammeln, zu kombinieren und auszuwerten. Dazu wird häufig ein System von Kundenkarten eingeführt, das auf den ersten Blick eine stärkere Kundenbindung durch Rabattgewährung sichern soll. Darüber hinaus können mit solchen Kundenkarten aber auch die Konsumgewohnheiten der Kunden erfasst und ausgewertet werden. Durch Verknüpfung verschiedener Profile lassen sich daraus vielfältigste Informationen gewinnen, die der Kunde gar nicht erahnt. Neben einer gezielten Werbung ermöglicht die Verknüpfung u.U. auch Aussagen zur Kreditwürdigkeit.
Im Internet sind die Möglichkeiten des Ausspionierens noch vielfältiger. Bedenkt man, dass jeder Mausklick im Webserver protokolliert wird, lassen sich durch Auswertung der Logfiles aus Art der angeklickten Informationen, Verweildauer und getätigte Einkäufe die Interessen des Besuchers genau erforschen. Wird dann noch, wie bei kommerziellen Seiten üblich, die Angabe von persönlichen Daten gefordert, lässt sich das schönste Kundenprofil erstellen. Durch Zusammenarbeit mit befreundeten Unternehmen (Datenaustausch) lässt sich dieses noch verfeinern.

Spuren im Web

Jeder, der aktiv am Web teilnimmt, sei es als Websitebetreiber, Blogger oder Teilnehmer eines Chat- oder Diskussionsforums oder einer Online_Community, hinterlässt dort digitale Spuren. Dies führt dazu, dass es mittlerweile Standard geworden ist, nach einem Namen zu "googeln", wenn man etwas über eine Person erfahren will. Besondere Brisanz kann das im Falle von Stellenbewerbungen haben. Dabei können viele Trefferergebnisse ein positives oder negatives Bild liefern. Das Problem ist, dass sich das zum Zeitpunkt der Auswertung nicht mehr beeinflussen lässt. Es ist daher wichtig, dass man bei Publikationen im Internet immer bedenkt, dass diese öffentlich erfolgen und auch ein Pseudonym und eine anonyme E-Mailadresse keinen Schutz davor bieten, dass im Zuge von diversen Verknüpfungen die Identität offengelegt werden kann.

Siehe dazu:

Die Website als Datenanwendung

Wenn auf einer Website Personendaten angegeben werden, stellt dies eine Datenverarbeitung dar, die dem DSG 2000 unterliegt. Allerdings ist eine Veröffentlichung von Daten im Internet keine Übermittlung von Daten in ein Drittland (EuGH, Fall Lindqvist, siehe unten). Die Veröffentlichung von Daten ist nicht generell verboten, es ist vielmehr ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen sicherzustellen, wobei die Abwägung nach dem Grundsatz der Verhältnismäßigkeit zu erfolgen hat. Äußerste Zurückhaltung ist bei der Veröffentlichung sensibler Personendaten angebracht; eine solche sollte jedenfalls nur mit ausdrücklicher Zustimmung der betroffenen Personen erfolgen.

 

Technischer Datenschutz

Verschlüsselung

Verschlüsselung dient dem Schutz von sensiblen Daten auf Computern oder mobilen Datenträgern oder während des Transfers im Internet oder über W-LAN-Funknetze. Es können entweder ganze Computer (wichtig vor allem bei Notebooks, die unterwegs verloren gehen können) verschlüsselt werden oder nur bestimmte Festplatten, Verzeichnisse oder Dateien. Es gibt dazu verschiedene Systeme und Verfahren. Wichtig ist dabei vor allem eine entsprechende Schlüsselstärke, die in Bit gemessen wird. Siehe dazu Näheres bei Wikipedia.

Das sichere Passwort

Passwörter werden für den Zugang zu verschlüsselten Computer-Systemen, Festplatten oder Ordnern verwendet, aber auch für geschützte Web-Bereiche, wie geschlossene Foren, Administrationstools oder Zahlungssysteme. Für die Auswahl von Passwörtern gelten folgende Regeln:

Damit ein Passwort in der Praxis handhabbar bleibt und man nicht jedes Mal die Passwortliste aus dem Safe holen muss, wenn man eines benötigt, empfiehlt es sich, die Passwörter so auszuwählen, dass man sie sich trotz der Kompliziertheit leicht merken kann. Dazu gibt es verschiedene Möglichkeiten. Man kann entweder die Anfangsbuchstaben eines Merksatzes nehmen (etwa: "Niemand errät mein Passwort mit 128 Bit" = NemPm128B) oder eine Kombination von Abkürzungen und Datumsangaben (etwa für Max Mustermann, geb. 13.07. = Ma13&Mu07).

Siehe auch:

 

Entscheidungen Österreich

Immaterieller Schadenersatz bei rechtswidrigen Bonitätsdaten: LGZRS Wien, Urteil vom 15.2.2008, 53 Cg 106/07h

DSG 2000 § 33

Der VKI klagt auf Ersatz immateriellen Schadens, weil sich ein Betroffener durch rechtswidrig verarbeitete und öffentliche Bonitätsdaten einer Wirtschaftsauskunftei in seiner Reputation als Unternehmer geschädigt sah.

Das Gericht sprach EUR 750,-- zu.

 

Offenlegung einer IP-Adresse nach dem SPG: Bescheid der DSK vom 3.10.2007, K121.279/0017-DSK/2007

DSG 2000 § 1, § 31, SPG § 53, ECG § 18

Die Polizei forschte einen eines Sexualdeliktes verdächtigen Teilnehmer eines Chatforums aus, indem sie die entsprechenden Daten vom Betreiber des Chatforums (IP-Adresse) und vom Accessprovider (Inhaber der dynamischen IP-Adresse) anforderte und auch erhielt. Der Ausgeforschte beschwerte sich bei der DSK über das Vorgehen der Polizei und die Herausgabe seiner Daten durch den Forenbetreiber und den Accessprovider.

Die DSK wies die Beschwerde gegen die Diensteanbieter zurück und gab der Beschwerde gegen die Polizei (Sicherheitsdirektion) statt. Die Datenermittlung durch die Sicherheitsbehörde stellte mangels tauglicher Eingriffsgrundlage eine Verletzung  des Grundrechtes auf Geheimhaltung schutzwürdiger personenbezogener Daten dar. Für die Übermittlung der (dynamischen) IP-Adresse, die unzweifelhaft ein Verkehrsdatum darstellt, auf Basis eines "nickname" kann § 53 Abs 3a SPG keine geeignete Grundlage bieten. Aus datenschutzrechtlicher Sicht schiene es – auch wenn sich angesichts der gegenständlichen Umstände des Sachverhaltes das Verständnis für ein Verhalten wie jenes des Beschwerdeführers in Grenzen halten wird - vielmehr außerordentlich bedenklich, den Anwendungsbereich des § 53 Abs. 31 SPG im Wege der Analogie auch auf nicht ausdrücklich erfasste Sachverhalte zu erweitern. Auch wenn sich das Verständnis für ein Verhalten wie jenes des Beschwerdeführers im gegenständlichen Fall in Grenzen halten muss, ist davon auszugehen, dass das Vorgehen der Sicherheitsbehörden weder im SPG noch im ECG eine gesetzliche Deckung finden kann. Die Datenschutzkommission kommt allerdings auch nicht um die Anmerkung umhin, dass die bestehende Rechtslage im Hinblick auf die Befugnisse der Sicherheitsbehörden nicht wirklich klar ist und daher im Interesse des Datenschutzes und der Rechtssicherheit sowohl aus der Sicht der Behörden, wie auch aus jener der betroffenen Bürger und der Auskunftspflichtigen durchaus verbesserungswürdig erscheint (VwGH-Beschwerde ist zu Zl. 2007/05/0280 anhängig)

 

Überwachungskamera-Attrappe: OGH, Urteil vom 28.3.2007, 6 Ob 6/06k

ABGB § 16,  EMRK Art 8

Der Beklagte hatte am Balkon seines Hauses eine ferngesteuert bewegliche Videokamera angebracht, die einerseits Küchenfenster, Haus- und Gartentüre und andererseits den Garten des Klägers überwachte. Er behauptete, dass es sich nur um eine nicht angeschlossene Attrappe gehandelt habe. Der Kläger argumentierte, dass er das nicht kontrollieren könne. Es konnte auch bis zum Schluss nicht festgestellt werden. Er begehrte einerseits die Unterlassung der Überwachung seines Haus- und Gartenbereiches bzw. des Eindruckerweckens und andererseits die Entfernung der Kamera bzw. die Änderung des Einstellwinkels der Kamera, so dass sein Grundstück nicht mehr miterfasst wird.

Das Erstgericht gab den Klagebegehren zu Gänze statt. Das Berufungsgericht bestätigte das Unterlassungsbegehren und hob das Urteil hinsichtlich des Beseitigungsanspruches auf.

Der OGH gab der Revision keine und dem Rekurs teilweise Folge. Er bestätigte das Unterlassungsurteil und wies das Beseitigungsbegehren ab. Das jedermann angeborene Persönlichkeitsrecht auf Achtung seines Privatbereichs und seiner Geheimsphäre, das als absolutes Persönlichkeitsrecht Schutz gegen Eingriffe Dritter genießt, wird aus § 16 ABGB abgeleitet. Aus dem Charakter der Persönlichkeitsrechte als absolute Rechte bejaht die Rechtsprechung Unterlassungsansprüche bei Persönlichkeitsverletzungen auch dann, wenn sie gesetzlich nicht ausdrücklich vorgesehen sind. Eine Verletzung der Geheimsphäre stellen geheime Bildaufnahmen im Privatbereich und fortdauernde unerwünschte Überwachungen dar. Der Kläger konnte nicht ständig kontrollieren, ob die Kamera eingeschaltet ist oder ob es sich um eine bloße Attrappe handelt. Musste sich der Kläger immer kontrolliert fühlen, wenn er sein Haus betritt oder verlässt oder sich in seinem Garten aufhält, so bewirkten die Maßnahmen, selbst wenn das Gerät nur eine Attrappe einer Videokamera gewesen sein sollte, eine schwerwiegende Beeinträchtigung der Privatsphäre (Geheimsphäre) des Klägers. Entscheidend für den Schutz ist eine Interessensabwägung. Dem Interesse des Klägers auf Achtung seiner Privatsphäre stehen keine berechtigten Interessen des Beklagten gegenüber, weil dessen Interesse am Schutz seines Eigentums nicht die Überwachung des Grundstückes des Klägers erfordert. Da er aber sehr wohl sein eigenes Grundstück überwachen darf, konnte ihm nicht die Beseitigung der Kamera aufgetragen werden.

 

Speicherung von dynamisch vergebenen IP-Adressen unzulässig: Empfehlung der Datenschutzkommission vom 11.10.2006, K213.000/0005-DSK/2006

TKG § 92, § 93, § 99, RL DSeK Art. 5

Zwei ertappte Tauschbörsennutzer, die über ihren Provider anhand der IP-Adresse ausgeforscht worden waren, beschwerten sich bei der Datenschutzkommission (DSK) über die missbräuchliche Verwendung personenbezogener Daten durch eine Verwertungsgesellschaft. Die DSK überprüfte den Vorgang der Datenerhebung beim beteiligten Access-Provider. Dieser berief sich darauf, dass er trotz Flatrate die Verkehrsdaten zur Kontrolle der Fair Use Policy speichern müsse.

Die DSK gibt die Empfehlung ab, der Access-Provider möge dafür Sorge treffen, dass in Hinkunft dynamische IP-Adressen nach Abschluss der technischen und organisatorischen Abwicklung der Verbindung ohne Zustimmung des Benutzers nicht mehr gespeichert werden. Dynamische IP-Adressen sind personenbezogene Daten. Zur Erfüllung des Auskunftsbegehrens müssen Verkehrsdaten verarbeitet werden, da IP-Adressen Zugangsdaten im Sinne des § 92 Abs. 3 Z 4a TKG 2003 sind. Dynamische IP-Adressen sind ausschließlich Verkehrsdaten, statische IP-Adressen sind sowohl Verkehrsdaten als auch Stammdaten. Die Verwendung der Verkehrsdaten unterliegt der Vertraulichkeit gem. Art. 5 der RL 2002/58/EG bzw. dem Kommunikationsgeheimnis gem. § 93 Abs. 1 TKG 2003 und besonderen Verwendungsbeschränkungen gem. Art. 6 und Art 15 Abs. 1 der genannten RL bzw. § 92 Abs. 2 und § 99 TKG 2003. Diese Daten dürfen daher nur gespeichert werden, soweit dies für Verrechnungszwecke notwendig ist oder soweit die ausdrückliche Einwilligung des Betroffenen vorliegt. Im gegenständlichen Fall durften die Daten für die Kontrolle der Einhaltung der Fair-Use-Policy nicht gespeichert werden, weil es dazu genügt hätte, das Volumen pro Verbindung zu speichern (und nicht die weiteren Verbindungsdaten wie die jeweils zugewiesene IP-Adresse).

 

Systematische Videoüberwachung zur Beweissammlung: OGH, Urteil vom 19.12.2005, 8 Ob 108/05y

ABGB § 16, § 1328a, IPRG § 13, § 48

Die Rechtssache steht in Zusammenhang mit den Streitigkeiten zwischen den Hälfteeigentümern einer kleinformatigen Tageszeitung. Die eine Hälfteeigentümerin – eine deutsche KG – hatte gegen den Erstkläger – den Sohn des anderen Hälfteeigentümers – eine einstweilige Verfügung auf Unterlassung kreditschädigender Behauptungen erwirkt. Im Exekutionsverfahren wendete der Erstkläger örtliche Unzuständigkeit ein; bei der im Exekutionsantrag angegebenen Adresse handle es sich um ein nicht ständig bewohntes Haus seiner Mutter (der Zweitklägerin), in dem er sich nur hin und wieder als Gast aufhalte. Der Rechtsanwalt der KG beauftragte daraufhin einen Privatdetektiv mit der Videoüberwachung des Eingangs dieses Einfamilienhauses, um Beweismittel für den Zuständigkeitsstreit zu erlangen. Abgesehen von ungeplanten Unterbrechungen wegen Sichtbehinderungen wurde der Eingang in den nächsten sechs Wochen ständig von der öffentlichen Straße aus gefilmt.

Die Kläger begehrten von dem Rechtsanwalt, dem Privatdetektiv, der KG, ihrer Komplementärin sowie von deren Geschäftsführern die Unterlassung der Videoaufzeichnungen.

Das Erstgericht hielt die Videoüberwachung zu den genannten Zwecken für gerechtfertigt und wies die Unterlassungsklage ab; das Berufungsgericht bestätigte.

Der OGH gab der Revision der Kläger Folge und erließ das Unterlassungsgebot. Steht ein Eingriff in die Privatsphäre fest (hier: durch systematische, identifizierende Videoüberwachung), trifft den Verletzer die Behauptungs- und Beweislast dafür, dass er in Verfolgung eines berechtigten Interesses handelte und dass die gesetzte Maßnahme ihrer Art nach zur Zweckerreichung geeignet war. Entspricht er dieser Behauptungs- und Beweislast, kann der Beeinträchtigte behaupten, dass die Maßnahme nicht das schonendste Mittel zur Zweckerreichung darstellt. Stellt sich dabei heraus, dass die Maßnahme nicht das schonendste Mittel war, erübrigt sich die Vornahme einer Interessenabwägung.
Systematische, verdeckte, identifizierende Videoüberwachung stellt immer einen Eingriff in das geschützte Recht auf Achtung der Geheimsphäre dar. Die Videoaufzeichnung ist identifizierend, wenn sie auf Grund eines oder mehrere Merkmale letztlich einer bestimmten Person zugeordnet werden kann. Die systematische Videoüberwachung unterscheidet sich von der ohne Hinzutreten besonderer Umstände im Regelfall zulässigen Beobachtung mit dem bloßen Auge dadurch, dass eine Videokamera im Unterschied zu einem menschlichen Beobachter in Bezug auf Wahrnehmungs- und Erinnerungsfähigkeit keinerlei Beeinträchtigung unterliegt und damit in der Lage ist, ein komplettes Gesamtbild der aufgenommenen Personen zu erstellen, wobei die gemachten Aufzeichnungen zeitlich nahezu unbegrenzt aufbewahrt werden können. Die Summe von Informationen in ihrer systematischen Ausformung ist auch dann geschützt, wenn die einzelne Information für sich keinen Schutz genießt. Der Eigentümer einer Liegenschaft hat ein Recht, dass die auf seiner Liegenschaft ein- und ausgehenden Personen (Familienangehörige, Mieter, Gäste, Angestellte) nicht systematisch beobachtet werden.

Abwehransprüche gegen Eingriffe in Persönlichkeitsrechte sind nach dem Recht des Staats zu beurteilen, in dem das beanstandete Verhalten gesetzt worden ist.

 

Warnliste der Banken: OGH, Beschluss vom 15.12.2005, 6 Ob 275/05t

DSG § 6, § 18, § 33, MedienG § 7

Es geht hier einerseits um eine Inanspruchnahme des beklagten Rechtsanwaltes als Bürge für einen Kredit und andererseits um eine Widerklage des Rechtsanwaltes, gestützt auf Schadenersatz und Entschädigung nach dem Mediengesetz wegen seiner rechtswidrigen Aufnahme in die Warnliste der Banken. Die Aufnahme in die schwarzen Listen der Banken darf nach dem Bescheid der Datenschutzkommission nur nach vorheriger Verständigung erfolgen.

Das Erstgericht gab beiden Klagen statt. Das Berufungsgericht bestätigte das Urteil gegen den Rechtsanwalt und hob das andere Urteil zur näheren Prüfung der Höhe auf, wobei es aber von einer dem Grunde nach gegebenen Haftung der Bank ausging.

Der OGH gab beiden Rechtsmitteln nicht Folge. Der in § 6 Abs 1 Z 1 DSG verankerte Grundsatz, wonach Daten nur nach Treu und Glauben verwendet werden dürfen, erfordert eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine seiner Meinung nach nicht gerechtfertigte, seine Kreditwürdigkeit aber massiv beeinträchtigende Datenverwendung zur Wehr zu setzen. Eine dagegen verstoßende Eintragung in die Warnliste ist nicht mehr durch ein überwiegendes Gläubigerschutzinteresse gerechtfertigt und somit rechtswidrig; sie ist der Bank auch subjektiv vorwerfbar. Wird ein Rechtsanwalt unter Verstoß gegen das Datenschutzgesetz in die „Warnliste der Banken" aufgenommen, so untergräbt die dadurch verbreitete Annahme, er sei als Rechtsanwalt kreditunwürdig, sein Ansehen bei Klienten und unter Kollegen und ist geeignet, seinen Ruf nachhaltig zu schädigen und sogar seine wirtschaftliche Existenz zu gefährden, sodass die Voraussetzungen für den Zuspruch eines immateriellen Schadens dem Grunde nach gegeben sind. Eine Zustimmungsklausel ist ungültig, wenn sie den Betroffenen nicht in Kenntnis der Sachlage für den konkreten Fall in die Verwendung der Daten einwilligen lässt.

 

Videoaufnahmen von Hubschrauberflügen: Datenschutzkommission, Bescheid vom 11.10.2005, K121.036/0014-DSK/2005

DSG 2000 § 1, § 4, § 26, § 58

Der Beschwerdeführer richtete an die Beschwerdegegnerin, eine Aktivistin gegen die Belästigung durch den Flugverkehr, ein Auskunftsbegehren, weil diese (u.a.) seine Starts und Landungen auf dem Dachlandeplatz eines Sanatoriums filmte und darüber Aufzeichnungen führte.

Die DSK wies die Beschwerde ab. Es fehlt im gegenständlichen Fall schon an identifizierenden Daten, weil es der Beschwerdegegnerin nur um die Tatsache der Hubschrauberflüge gegangen ist und nicht um die Person der Piloten; sie hatte auch gar keine Möglichkeit deren Namen zu erfahren. Eine Verwendung personenbezogener Daten liegt aber nur dann vor, wenn sie mit der Absicht erfolgt, die Personen zu identifizieren. Normale Foto- oder Filmaufnahmen sind nicht datenschutzrelevant.

Weiters erfüllt eine analoge Magnetbandaufzeichnung weder das Kriterium der automationsunterstützten Verarbeitung, wie sie bei digitaler Verarbeitung gegeben wäre, noch das Kriterium der Strukturiertheit nach einem oder mehreren personenbezogenen Merkmalen, wie sie für manuelle Dateien Voraussetzung ist. Damit Film- oder Fotoaufnahmen Gegenstand des Auskunftsrechts sein können, muss die Bildaufzeichnung in Form einer Datei im Sinne des § 4 Z 6 DSG 2000 erfolgen.

Während natürliche oder juristische Personen, die als Auftraggeber dem DSG 2000 unterliegen, aufgrund eines Auskunftsbegehrens Antwort geben müssen, kann jedenfalls Personen, die in keinem Zusammenhang „Auftraggeber“ sind, eine solche Verpflichtung nicht auferlegt werden, da diesfalls dem abstrakten Recht auf Auskunft kein Vorrang eingeräumt werden kann gegenüber dem Recht jedes einzelnen, unbehelligt zu bleiben, wenn er die Voraussetzungen der Auftraggebereigenschaft generell nicht erfüllt, weil er keinerlei Daten im Sinne des DSG 2000 verarbeitet. § 26 war daher auf die Beschwerdegegnerin nicht anzuwenden.

 

Datenschutz-RL derogiert Bezügebegrenzungsgesetz: OGH, Urteil vom 21.1.2004, 9 ObA 73/03f, 9 ObA 77/03v

DSG 2000 § 1, EG-RL 95/46/EG, BezBegrBVG § 8

Die Erwägungen des Verfassungsgerichtshofs in seinem Erkenntnis vom 28. November 2003, GZ KR 1/00-33, wonach die unmittelbar anwendbaren Bestimmungen der Datenschutz-Richtlinie der Anwendung jener Bestimmungen des § 8 BezBegrBVG entgegenstehen, die eine namentliche Offenlegung der Bezüge und der Beschaffung von Daten zum Zweck der ordnungsgemäßen Verwaltung der öffentlichen Mittel ermöglichen, haben auch im vorliegenden Fall zu gelten. Der Kläger kann sich daher gegenüber der beklagten Partei Österreichischer Rundfunk darauf berufen, dass auch diese den Vorrang des Gemeinschaftsrechts betreffend seine persönlichen Schutzrechte zu achten hat und daher nicht den Auskunfts- und Einschaugewährungspflichten der anderslautenden innerstaatlichen Bestimmung des § 8 Abs 1 BezBegrBVG entsprechen darf, soweit diese im Widerspruch zum Gemeinschaftsrecht steht.

 

Veröffentlichung personenbezogener Daten im Internet: EuGH, Urteil vom 6.11.2003, C-101/01 - Lindqvist

Die Schwedin Lindqvist betrieb im Rahmen ihrer Tätigkeit als Katechetin ihrer Kirchengemeinde eine Website, auf der sie Arbeitskollegen ihrer Gemeinde vorstellte; u.a. veröffentlichte sie ohne Einwilligung Namen, Familienverhältnisse und Telefonnummer und erwähnte eine Erkrankung einer Mitarbeiterin. Sie wurde dafür vom Gericht erster Instanz wegen Verstoßes gegen das schwedische Datenschutzgesetz verurteilt. Die 2. Instanz leitete ein Vorab- Entscheidungsverfahren ein.

EuGH: Eine Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten im Sinne von Artikel 3 Absatz 1 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dar. Eine solche Verarbeitung personenbezogener Daten fällt unter keine der in Artikel 3 Absatz 2 der Richtlinie 95/46 genannten Ausnahmen. Die Angabe, dass eine Person partiell krankgeschrieben ist, gehört zu den personenbezogenen Daten über die Gesundheit im Sinne von Artikel 8 Absatz 1 der Richtlinie 95/46. Eine Veröffentlichung von Daten im Internet ist keine Übermittlung von Daten in ein Drittland. Ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen einschließlich der durch die Gemeinschaftsrechtsordnung geschützten Grundrechte ist sicherzustellen. Die Abwägung hat nach dem Grundsatz der Verhältnismäßigkeit zu erfolgen. Eine Ausdehnung des Geltungsbereiches der Datenschutz-Richtlinie 95/46/EG durch die Mitgliedsstaaten auf andere Bereiche ist zulässig, soweit dem keine andere Bestimmung des Gemeinschaftsrechtes entgegensteht.

"Hausbesorgerdaten im Internet": OLG Innsbruck, Beschlüsse vom 27.9.1999, 1 R 143/99 und 28.3.2000, 1 R 30/00x

Mit der Veröffentlichung von Daten einer Hausbesorgerin durch den Angestellten einer Wohnungsgesellschaft auf der Homepage der Gesellschaft sollte der Kontakt zu dieser Person leichter hergestellt werden können. Die klagende Hausbesorgerin, die damit - auch aus privaten Gründen - nicht einverstanden war, stützte den Anspruch auf Unterlassung der Veröffentlichung ihrer Daten - mit Erfolg - sowohl auf das Datenschutzgesetz 1978 als auch den Persönlichkeitsschutz nach § 43 ABGB. Obwohl seit 1. 1.2000 das DSG 2000 gilt, ist die Entscheidung im Hinblick auf die Abwägung der gegensätzlichen Interessen trotzdem auch weiter relevant. Verletzung des durch § 16 ABGB gewährleisteten Persönlichkeitsrechtes auf Anonymitätsschutz.
Medien und Recht 3/00, Seite 148

 

"Friends of Merkur":  OGH, Urteil vom 27.1.1999, 7 Ob 170/98w

Das Kundenprogramm "Friends of Merkur" (Merkur AG) sah Exklusivrabatte und Zahlungsaufschübe für den Fall vor, dass der Kunde seine Einkäufe mit einer Bankomatkarte begleicht, bestimmte Umsatzgrenzen erreicht und einen entsprechenden Vertrag unterschreibt. Darin wurde der Merkur AG u.a. das Recht eingeräumt, persönliche Kundendaten "zum Zweck der Konsumenteninformation sowie allfälliger Werbemaßnahmen an andere Unternehmen des BML-Konzerns" weiterzugeben. 
Die Klausel "Personen, die dem Kundenprogramm 'Friends of Merkur" beitreten, stehen zur Merkur Warenhandels-AG in einem Vertragsverhältnis nach Maßgabe dieser Allgemeinen Geschäftsbedingungen und ihrer künftigen Änderungen und Ergänzungen" verstößt gegen § 6 Abs 2 Z 3 KSchG, weil sie nicht erkennen läßt, ob es sich bei den Änderungen und Ergänzungen des Kundenprogramms lediglich um solche geringfügiger bzw sachlich gerechtfertigter Natur handelt, welche dem Verbraucher zumutbar wären. 
Eine unauffällig im vorgedruckten Text eines Folders vorhandene Zustimmungserklärung des Kunden entspricht nicht dem § 18 Abs 1 DSG. § 6 Abs 3 KSchG findet als lex specialis nicht seine Anwendungsgrenze im § 18 DatenschutzG.
Für den Kunden ist die Bezeichnung "BML-Konzern" nicht verständlich; überdies kann sich die Zusammensetzung eines internationalen Konzerns ändern, was für den Kunden jedenfalls nicht durchschaubar sei. Die genannte Klausel widerspricht sohin dem Transparenzgebot des § 6
Abs 3 KSchG. Es muss unter anderem für den Kunden deutlich erkennbar sein, an wen die mittels Kundenkarte erhobenen Daten weitergeleitet werden.

I4J-Kapiteltrenner

Entscheidungen Deutschland u.a.

Inverssuche: BGH, Urteil vom 5.7.2007, III ZR 316/06

TKG 2004 § 47, § 105

Der Teilnehmernetzbetreiber ist nicht berechtigt, die "Freigabe" der Inverssuche in den gemäß § 47 Abs. 1 TKG 2004 den Auskunftsdienstbetreibern zur Verfügung zu stellenden Datensätzen von der Einwilligung seiner Kunden abhängig zu machen. Er ist vielmehr im Verhältnis zu den Auskunftsdienstbetreibern zur Anwendung der Widerspruchslösung des § 105 Abs. 3 TKG 2004 verpflichtet.

 

Keine Datenspeicherung bei Flatrate: BGH, Beschluss vom 26.10.2006, III ZR 40/06

TKG § 97

Der Kläger war wegen eines Foreneintrages strafrechtlich verfolgt, dann aber freigesprochen worden. Die Verfolgung war deswegen möglich, weil die Beklagte als Provider die zur IP-Adresse gehörigen Daten des Klägers bekanntgegeben hatte. Der Kläger klagte daraufhin auf Unterlassung der Speicherung und Löschung der Daten.

Das AG gab der Klage statt. Das Gericht hielt zwar für vertretbar, dass es mehrere Tage dauert, bis die Daten gelöscht werden, es untersagte aber die dynamischen IP-Adressen länger zu speichern, als dies für die Ermittlung der Abrechnungsdaten erforderlich sei. Eine Speicherung darüber hinaus verstoße gegen § 97 Abs. 3 TKG. Das LG bestätigte diese Entscheidung. Die Daten dürften im bisherigen Umfang nicht einmal erhoben, geschweige denn gespeichert werden.

Der BGH wies die Beschwerde des Providers wegen des geringen Streitwertes als unzulässig zurück.

 

Vertragsbedingungen bei eBay: Brandenburgisches OLG, Urteil vom 10.1.2006, 7 U 52/05

BGB § 309, TDDSG §§ 3 ff

Soweit in den Vertragsbedingungen von eBay eine Einwilligung in die Nutzung der personenbezogenen Daten verlangt wird, liegt ein Verstoß gegen § 3 Abs. 1, 2 TDDSG in Verbindung mit §§ 5, 6 TDDSG, wonach eine Verarbeitung und Nutzung personenbezogener Daten zu anderen als den gesetzlich erlaubten Zwecken nur mit der Einwilligung des Nutzers stattfinden darf, nicht vor. Die Einwilligungserklärung erfolgt, sofern der Nutzer sie abgibt, nämlich rechtswirksam. In § 3 Abs. 3 TDDSG ist ausdrücklich niedergelegt, dass die Einwilligung unter den Voraussetzungen des § 4 Abs. 2 TDDSG elektronisch erklärt werden kann. Dessen Voraussetzungen sind erfüllt. Die Vertragsbestimmungen über die Verarbeitung personenbezogener Daten verstoßen auch nicht gegen das "Koppelungsverbot" gemäß § 3 Abs. 4 TDDSG. Danach ist es dem Diensteanbieter veboten, die Erbringung von Telediensten von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere als den gesetzlich erlaubten Zwecken abhängig zu machen, wenn dem Nutzer ein anderer Zugang zu diesen Telediensten nicht oder in nicht zumutbarer Weise möglich ist. Ein solcher Fall einer Monopolstellung liegt hier nicht vor.

 

Betroffener im Sinne des Datenschutzrechtes: LG München II, Urteil vom 20.9.2005, 2 S 3548/05

BDSG § 3

Die Tatsache, dass jemand Mandant einer Kanzlei ist, über die Daten gesammelt werden, macht diese Person alleine noch nicht zum "Betroffenen" im Sinne des § 3 BDSG.

 

Sperrung einer E-Mail-Adresse: OLG Bamberg, Urteil vom 12.5.2005, 1 U 143/04

BGB § 1004, BDSG § 35, TDDSG § 1

Aus §§ 823 Abs. 1, 1004 Abs. 1 BGB folgt ein Anspruch auf Unterlassung der Zusendung werbender E-Mails, wobei es nicht darauf ankommt, wie viele werbende Mails übersandt wurden. Gegenüber dem Versender der Werbe-Mails besteht nach §§ 35 Abs. 2 S. 2 Nr. 1 BDSG i.V.m. §§ 1 Abs. 2, 3, 5 TDDSG ein Anspruch auf Löschung der personenbezogenen Daten, soweit es sich - wie vorliegend - nicht um sog. Nutzungsdaten handelt, die für die Begründung, inhaltliche Ausgestaltung oder Änderung des Nutzungsverhältnisses erforderlich sind. Auch eine bloße E-Mail-Adresse ist ein personenbezogenes Datum i.S.d. § 1 Abs. 2 TDDSG i.V.m. § 3 Abs. 1 BDSG, da sie geeignet ist, einen Bezug zu der natürlichen Person herzustellen.

 

Auskunftserteilung nach dem Bundesdatenschutzgesetz: AG Geislingen, Urteil vom 20.4.2004, 3 C 2/04:

Aus dem Schutzbereich des Bundesdatenschutzgesetzes sind nur solche Daten ausgenommen, die ausschließlich zu publizistischen Zwecken verarbeitet werden.

 

Video-Überwachung vor Kaufhaus: AG Berlin-Mitte, Urteil vom 18.12.2003, 16 C 427/02

BGB §§ 823, 1004, BDSG § 6b

Unter den Anwendungsbereich des § 6b BDSG fallen auch öffentliche Straßen, Wege und Ladenpassagen. Ob eine Videoüberwachung durch einen Kaufhausbetreiber für den vor dem Kaufhaus befindlichen öffentlichen Straßenraum zulässig ist, ist aufgrund einer Abwägung der beteiligten Interessen, einerseits informationelles Selbstbestimmungsrecht der Passanten, andererseits Eigentumsrecht und Recht am eingerichteten und ausgeübten Gewerbebetrieb des Kaufhausbetreibers, zu entscheiden. Die Abwägung der beteiligten Interessen führt dazu, dass eine ununterbrochen in einem räumlichen Bereich stattfindende Videoüberwachung unzulässig ist, soweit die betroffenen Passanten der Kontrolle nicht ausweichen können.

 

Allgemeine Geschäftsbedingungen beim Pay-Back-System: Urteil LG München vom 1.2.2001, 12 O 13009/00

Eine Datenschutzklausel, durch die der Kunde sein Einverständnis mit der Verarbeitung und Nutzung seiner erhobenen Daten "im Rahmen der jeweils geltenden Datenschutzgesetze" zu Zwecken der Abwicklung des Programms sowie zu Werbe- und Marktforschungszwecken erteilt, ist unwirksam, da Umfang und Zweck der Verarbeitung und Nutzung der Daten sowie der nutzungsberechtigte Personenkreis nicht hinreichend bestimmt sind; nicht rechtskräftig; Aktenzeichen beim BGH: I ZR 90/01.

 

"toysmart.com": Verkauf einer Kundendatenbank

Ist bei Liquidierung des Unternehmens unzulässig, wenn sich das Unternehmen selbst auf seiner Website verpflichtet hat, die Privatsphäre seiner Kunden zu wahren; Entscheidung der Federal Trade Commission (FTC) über Klage der US-Regierung;

I4J-Kapiteltrenner

Literatur

  I4J-Kapiteltrenner

Links

zum Seitenanfang