IT-Recht – Teil 4

Teil 4. Das IT-Sicherheitsgesetz und der Datenschutz

LemonPI IT Recht AT DE EU

Wir schreiten voran in der eingehenden Begutachtung des deutschen IT-SicherheitsG und beschäftigen uns im vierten Teil dieser Artikel-Reihe mit dem (auch anderweitig) nun schon fast allgegenwärtigen Thema des Datenschutzes.

Wie etwa in der News-Meldung im Februar 2016 geschrieben, dürfte mittlerweile jedem User/jeder Userin sowie allen Unternehmen und auch der Politik bzw. dem Gesetzgeber klar sein, dass Hacker-Angriffe keine Seltenheit mehr darstellen, sondern ein umfassendes Problem sind, dass Jede/n treffen kann.

Immer mehr Firmen, gleich ob potentielle kritische Infrastrukturen oder nicht, werden Opfer derartiger Angriffe. Dies könnte dem/der UserIn an sich gleichgültig sein, wären da nicht die persönlichen Daten, von denen man mittlerweile wohl nicht mehr im Einzelnen weiß, welches Unternehmen welche und auch wie viele der eigenen Daten gerade gespeichert hat. Denn persönliche Daten sind ein Gut, für welches in den Weiten des Web mitunter gut bezahlt wird und dies nicht nur, da man dadurch in der Lage ist, Personen zielgerichtet zu bewerben.

Die Daten von UserInnen können (leider) gut dazu verwendet werden, um auf private Computer-Systeme zuzugreifen, Phishing-Attacken und eMail-Betrug durchzuführen oder – im schlimmsten Fall – Identitätsdiebstahl zu begehen. Alleine aus diesem Grund dürfte es für den/die Einzelne/n von hohem Interesse sein, wie es um die persönlichen Daten bestellt ist.

Der österreichische Datenschutz richtet sich grundsätzlich nach dem Datenschutzgesetz (DSG 2000), welches von verschiedenen Verordnungen, etwa zur Datenverarbeitung flankiert wird. Bereits aus § 1 DSG ergibt sich das Grundrecht auf Datenschutz, welches sogar als Verfassungsbestimmung ausgelegt ist, also nur schwer vom Gesetzgeber verändert und/oder abgeschafft werden kann. Vom DSG geschützt sind jedenfalls Daten, die eine Identifikation einer Person ermöglichen, sowie ‚sensible Daten‘, also Informationen über die persönliche Überzeugung einer Person, ihre politische oder sexuelle Ausrichtung oder ein allfälliges religiöses Bekenntnis.

Grundsätzlich steht das österreichische – wie auch das deutsche – Datenschutzrecht auf dem Standpunkt, dass jedwede Verarbeitung von Daten solange unzulässig ist, als nicht ein gesetzlicher Rechtfertigungsgrund gegeben ist. Das DSG bietet hierfür in den §§ 6 ff DSG Richtlinien, etwa dass die Verwendung zu einem eindeutigen und rechtmäßigen Zweck (zB Verwendung von Kundendaten in der Buchhaltung) erfolgen muss. Das bloße Sammeln von Daten ohne konkreten Zweck und Einschränkung ist demgegenüber zumindest bedenklich und in der Regel nicht zulässig.

Eingeschränkt wird dies unter anderem dadurch, dass Daten dann verarbeitet werden dürfen, wenn sie in anonymisierter Form zur Verfügung stehen oder sogar von der jeweiligen Person selbst öffentlich gemacht wurden. Bestes Beispiel für eine derartige Veröffentlichung ist die Eingabe von persönlichen Informationen in einem Sozialen Netzwerk, ohne dass hierzu eine Verpflichtung oder Notwendigkeit bestehen würde.

Die §§ 14 f DSG regeln in der Folge die Anforderungen an datenverarbeitende Unternehmen hinsichtlich ihrer Datensicherheit. Zusammengefasst wird gesetzlich gefordert, dass ein Schutz vor unerlaubten Zugriffen, Löschung und/oder Veränderung nach? dem aktuellen Stand der Technik besteht. (oder auf und steht) Dieser Schutz kann durch Maßnahmen wie der Beschränkung und Protokollierung von Zugriffen und ähnlichen Vorkehrungen erreicht werden, weiter unterliegt das datenanwendende Unternehmen und dessen MitarbeiterInnen der Geheimhaltungspflicht.

Erfolgt eine Datenverwendung entgegen den Bestimmungen des DSG und kommt dem verwendenden Unternehmen ein Verschulden zu, kann dieses nach § 33 DSG dem Betroffenen gegenüber nach den allgemeinen zivilrechtlichen Bestimmungen des ABGB schadenersatzpflichtig werden. Weiters sind – insbesondere bei Verletzungen der einzuhaltenden Sicherheit – Verwaltungsstrafen in § 52 DSG bis zu € 25.000,- vorgesehen.

Erwähnenswert im Zusammenhang mit dem IT-SicherheitsG nach § 48a DSG ist, dass öffentlichen Stellen im Katastrophenfall ein gewisser Freiraum bei der Verarbeitung von geschützten Daten ermöglicht wird. Doch selbst diese sind nach der Erreichung des unmittelbaren Zwecks der Verarbeitung (zB zum Katastrophenschutz) umgehend wieder zu löschen.

Ungeachtet dessen, dass sich das IT-SicherheitsG letztlich auch in gewisser Hinsicht auf den Katastrophenfall bezieht, liegt die Verbindung zum Datenschutzrecht doch wesentlich im Bereich der Datensicherheit und endet dort auch wieder. Betrachtet man das IT-SicherheitsG hat es nämlich an sich eine gewisse andere Zielrichtung als das DSG.

Das IT-SicherheitsG macht es sich zur Aufgabe, kritische Infrastrukturen selbst vor unerlaubten Zugriffen zu schützen und versucht im Wege der Vorgabe von Sicherheits-Standards dieses Ziel für die betroffenen Branchen zu verwirklichen. Demgegenüber stehen die Daten der Kunden nicht im Vordergrund, allerdings kann gut und gerne angenommen werden, dass diese jedenfalls von den vorgeschriebenen Maßnahmen im IT-SicherheitsG mitumfasst sein sollen, da es letztendlich um den Gesamt-Schutz eines Unternehmens geht.

Zusammengefasst soll daher das IT-SicherheitsG die kritische Infrastruktur selbst schützen, während das Datenschutzrecht sich auf den Schutz der Daten des/der Einzelnen bezieht. Diese beiden Ziele decken sich zwar in gewisser Hinsicht, sind aber dennoch verschieden.

Auch im Falle eines österreichischen IT-SicherheitsG wäre die Situation wohl eine Ähnliche. Das DSG bietet bereits – seiner Ausrichtung nach – einen umfassenden Schutz der persönlichen Daten und Vorschriften zu deren Sicherung, sowie allfällige Strafen, wenn die Vorgaben nicht eingehalten werden. Ein IT-SicherheitsG würde hier in dem Bereich der Datensicherheit jedenfalls flankierend wirken, die Hauptausrichtung wäre aber klar eine Andere.

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at