IT-Recht – Teil 5

Teil 5. IT-Sicherheit und Social Media

LemonPI IT Recht AT DE EU

Im vorletzten Teil dieser Artikel-Serie wenden wir den Blick zur Abwechslung ab von jenen Unternehmen, die potentiell als kritische Infrastrukturen gelten und betrachten die Angelegenheit aus der Sicht der UserInnen.

Wie im vierten Artikel zum Thema angesprochen, bildet das Datenschutzgesetz bereits ein eigenes Schutzschild, zu welchem jenes eines IT-Sicherheitsgesetz eher flankierend hinzutritt. Bereits das deutsche IT-Sicherheitsgesetz ist weniger auf die UserInnen und deren Daten ausgerichtet, sondern primär darauf, dass kritische Infrastrukturen entsprechenden Schutz vor Cyberattacken aufweisen müssen. Dazu kommt noch das Vorhaben, einen möglichst guten Informationsaustausch zwischen den Betreibern der kritischen Infrastrukturen und den (deutsch) Behörden zu erreichen.

Ungeachtet dessen geht es – neben Daten der kritischen Infrastrukturen selbst – etwa gerade bei Telekommunikationsanbietern immer auch um die Daten der Kundinnen und Kunden. Diese unterscheiden sich zwar klar von Social Media, deren Geschäftsmodelle letztlich von der Daten-Freigiebigkeit der UserInnen abhängt, aber das Problem im Web 2.0 ist im Wesentlichen überall gleich. Ein/e UserIn definiert sich längst nicht mehr (nur) über die analoge Persönlichkeit, vielmehr hat jede/r von uns auch eine digitale Persona, die – je nach Online-Aktivität – mehr oder weniger gut ausgeprägt ist.

Man muss sich dabei verdeutlichen, dass das Web 2.0 zwar in vielen Fällen – allen voran Social Media – vorgibt kostenfrei zu sein, dies aber nicht ganz der Wahrheit entspricht. Nicht umsonst wird auf die großen Social-Media-Dienste in Österreich das E-Commerce-Gesetz angewendet und damit angenommen, dass die erbrachten Leistungen letztlich entgeltlich sind. Tatsächlich ist für diese Dienste zwar kein Geld zu bezahlen, aber bezahlt wird letztlich von jeder/m UserIn mit den eigenen Daten, die auf den Plattformen freiwillig zur Verfügung gestellt werden. Hierdurch erst wird auch personalisierte Werbung und Dergleichen möglich. Überdies ist es durch die Verknüpfung von Datensätzen möglich, das Verhalten einer Person zu einem gewissen Grad abzubilden und vorhersagbar zu machen. Dies ist ein Faktum, dessen man sich immer bewusst sein sollte, sobald man bei einem Dienst im Web 2.0 einen Account anlegt. Doch ist diese Form der Datensammlung der User keineswegs auf den Online-Bereich beschränkt. Jede Kundekarte, die man von einem Unternehmen erhält, ist de facto nur eine etwas analogere Ausprägung von diesem Prinzip. Denn die Karte mag zwar vordringlich Rabatte und Sonderleistungen gewähren, dient jedoch auch dazu, das Kaufverhalten genau zu dokumentieren.

Will man es heutzutage also vermeiden, Daten von sich preiszugeben, die potentiell Ziel eines Cyberangriffes werden können, hat man es in der vernetzten Welt durchaus schwer. Auch kann es sicher nicht sinnvoll sein, sich von dieser Entwicklung komplett abzuschotten und zu hoffen, dass man dadurch gegenüber Cyberattacken immun wird. Viel wichtiger ist es, sich möglichst immer im Klaren zu sein, welche Dienste man in Anspruch nimmt und welche Daten man hier preisgibt. Insbesondere, wenn es sich um eine potentiell kritische Infrastruktur handelt, sollte die Datenfreigabe genau bedacht werden.

Zusammengefasst ist das deutsche IT-SicherheitsG – und wohl auch eine zukünftige Umsetzung in Österreich – ein guter Schritt in die richtige Richtung um, neben dem Datenschutzrecht, Daten (von Usern) zu schützen. Doch selbst mit diesem Schutz ist der User selbst in die Verantwortung zu nehmen. Denn im Web 2.0 ist es zwingend notwendig, die Freigabe von Daten niemals unüberlegt zu tätigen.

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at