IT-Recht – Zusammenfassung der sechsteiligen Artikelreihe

Zusammenfassung der sechsteiligen Artikelreihe

LemonPI IT Recht AT DE EU

Der folgende Artikel zum  IT-Sicherheitsgesetz bildet eine Zusammenfassung der auf LemonPi.at erschienenen sechsteiligen Artikelserie zum Thema.

Thematisch wird nicht nur die deutsche Gesetzgebung besprochen, sondern findet jeweils auch ein Vergleich beziehungsweise der Versuch einer Umlegung auf die österreichische Gesetzgebung statt. Abschließend wird zusätzlich die Frage besprochen, wie ein Entwurf des – vergleichbaren – geplanten Cybersicherheitsgesetz in Österreich aussehen könnte.

Das deutsche IT-Sicherheitsgesetz

In Deutschland ist mit 25.07.2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz), in Kraft getreten, welches inhaltlich den Schutz von sogenannten kritischen Infrastrukturen vor Hackerangriffen betrifft.

Der deutsche Gesetzgeber nennt dabei als Ansatzpunkt die im Jahr 2011 verabschiedete Cyber-Sicherheitsstrategie, welche ebenfalls auf den Schutz von IT-Systemen in Deutschland abzielte und hier bereits auch die genannten kritischen Infrastrukturen im Auge hatte.

Das IT-Sicherheitsgesetz ist dabei eigentlich kein Gesetz im engeren Sinn, also ein eigenständiger Regelungskatalog, sondern vielmehr ein gesetzgeberischer Akt des deutschen Gesetzgebers, mit dem das BSI-Gesetz, das Atomgesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz, das Telemediengesetz, das Bundesbesoldungsgesetz sowie das Bundeskriminalamtsgesetz geändert wurden. Eine derartige Vorgehensweise, also mittels eines Gesetzes-Aktes ein ‚Bündel von Gesetzen‘ zu aktualisieren beziehungsweise zu ändern ist übrigens auch in Österreich eine durchaus gängige Vorgehensweise.

Bereits aus den genannten einzelnen Gesetzen ist gut ersichtlich, dass das IT-Sicherheitsgesetz dem Bereich des öffentlichen Rechtes zuzuordnen ist und hier den Schutz von Versorgungseinrichtungen im Auge hat. Tatsächlich findet sich etwa im ersten Paragraphen der Änderungen des BSI-Gesetzes die Regelung, was unter den kritischen Infrastrukturen zu verstehen ist. Es handelt sich dabei etwa um Einrichtungen, die der Versorgung der Bevölkerung mit Energie und Wasser dienen, für die Kommunikation notwendig sind oder auch eine hohe Bedeutung für das funktionierende Gemeinwesen haben.
Jene Anlagen sollen weitgehend vor terroristischen Akten, hier Hacker-Angriffe, geschützt werden, weswegen die Betreiber dieser Strukturen angemessene Vorkehrungen zur Vermeidung von Störungen usw. einzurichten haben und hier auch von den deutschen Behörden unterstützt werden sollen. Überdies ist eine zentrale Meldestelle einzurichten und lediglich Kleinstunternehmen, welche aber ebenfalls kritische Infrastrukturen betreiben, sind von den genannten Pflichten ausgenommen.

Ziel ist es letztlich, hinsichtlich der kritischen Infrastrukturen IT-Standards zu schaffen, welche mehr Sicherheit vor Hacker-Angriffen derartiger Einrichtungen bieten sollen. Dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) kommt dabei die Rollen einer Überwachung sowie eines Früherkennungssystems zu.

Zu Beginn wurde an dem Gesetz vor allem kritisiert, dass nicht ersichtlich sei, welche Unternehmen konkret als Betreiber kritischer Infrastrukturen gelten würden. Überdies wurde weiters befürchtet, dass das Gesetz als Möglichkeit herangezogen werden könnte über die betroffenen Unternehmen Daten auf Vorrat zu speichern. Diese Problempunkte werden jedoch letztlich erst durch die längere praktische Anwendung des IT-Sicherheitsgesetzes gelöst werden können.

In Österreich gibt es derzeit kein direkt vergleichbares Gesetz, wenngleich diverse Sicherheitsvorschriften in verschiedenen Gesetzen existieren. Diese richten sich jedoch nicht primär gegen Hacker-Angriff auf kritische Infrastrukturen, sondern lassen sich eher dem Bereich Schutz des Verbrauchers sowie Haftungsanfragen zuordnen. Auch einheitliche Standards vermisst man. Nunmehr befindet sich jedoch ein Cybersicherheitsgesetz in Planung, welches ausführlicher am Ende dieses Artikels besprochen wird.

Definition kritischer Infrastrukturen nach dem deutschen IT-Sicherheitsgesetz

Als Definition für den Begriff der kritischen Infrastrukturen wurde im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (Abfragedatum: 15.02.2016) durch das Bundesgesetzblatt 2015, Teil I, Nr. 31 vom 24.07.2015 in § 2 BSIG folgender Absatz 10 neu eingefügt:

[…]
(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

 Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.
[…]

Obwohl damit eine grundsätzliche Definition der kritischen Infrastrukturen geschaffen wurde, kann alleine nach dem obigen Text nicht genau gesagt werden, welche Unternehmen in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Eine Tatsache, die auch im Zusammenhang mit der Erlassung stark kritisiert wurden. Der deutsche Gesetzgeber hat eine Lösung dahingehend in das BSIG ‚eingebaut‘, dass eine nähere Bestimmung nicht durch Gesetz selbst erfolgen soll, sondern durch den Erlass einer Verordnung, auf welche weiter unten noch eingegangen wird.

Eine derartige Vorgehensweise ist auch dem österreichischen Recht nicht fremd und werden öfter Gesetze erst durch Verordnungen näher ausgeführt und bestimmt. Während dies auf den ersten Blick nachteilig erscheinen mag, hat eine nähere Regelung durch Verordnung den Vorteil, dass eine Verordnung leichter als ein Gesetz geändert werden kann, wodurch eine Verordnung nicht nur flexibler ist, sondern auch besser den aktuellen Umständen angepasst werden kann. Am Beispiel der kritischen Infrastrukturen etwa, wäre es dem Gesetzgeber möglich, diese anhand von Unternehmensgrößen oder Branchen zu definieren. Ergibt sich dann, dass eine solche Einteilung nicht ausreicht, um einen funktionierenden Schutz zu gewährleisten, kann die Verordnung mit anderem Inhalt neu erlassen werden. Aus diesem Grund sind nicht wenige Verordnungen – auch in Österreich – nur auf eine bestimmte Zeit, zum Beispiel ein Jahr, erlassen, um den Inhalt noch aktueller halten zu können. Am Rande sei außerdem noch bemerkt, dass Verordnungen des österreichischen oder deutschen Gesetzgebers nicht gleich jenen Verordnungen sind, die seitens der Europäischen Gemeinschaften erlassen werden.

Laut dem deutschen Bundesministerium des Inneren ergibt sich die Anwendbarkeit des IT-Sicherheitsgesetzes, noch vor der Klarstellung durch die Verordnung, jedenfalls für die Betreiber von Kernkraftwerken und Telekommunikationsanbietern bereits aus dem Gesetz, alle anderen Strukturen sollen dann anhand der Verordnung nachvollziehbar überprüft werden können.

Nach dem Entwurf der Verordnung, so in dessen Punkt B. Lösung dargelegt, sollte das Unterfallen eines Unternehmens unter den Begriff kritische Infrastruktur nach einer dreistufigen Prüfung ermittelt werden:

  1. Ermittlung von Sektoren, die als kritisch zu betrachten sind. Hierunter fallen etwa Energie, Wasser, Telekommunikation oder Ernährung;
  2. Festlegung der Anlagen bzw. Strukturen, die für die Erbringung der Leistungen der genannten Sektoren notwendig sind;
  3. Ausgehend von den im zweiten Schritt ermittelten Anlagenstrukturen werden konkrete Anlagen und/oder Teile von diesen ermittelt sowie deren Versorgungsgrad hinsichtlich der Gesellschaft errechnet. Erreicht dieser Versorgungsgrad eine bestimmten Schwellenwert, so gilt eine Anlage als kritische Infrastruktur und unterfällt dem IT-Sicherheitsgesetz.

Während sich die ersten beiden Schritte mit einiger Leichtigkeit direkt aus den einzelnen Stellen dem Entwurf erfassen ließen, bedeutet die Ermittlung des Schwellenwertes sowie des zugrundeliegenden Versorgungsgrades einen gewissen Rechenaufwand, da beispielsweise bei der Stromversorgung auf den durchschnittlichen Verbrauch in kWh abgestellt wird oder im Rahmen der Telekommunikation auf TB.

Pflichten der Betreiber kritischer Infrastrukturen nach dem IT-Sicherheitsgesetz

Ungeachtet der beim deutschen Gesetz anfänglich kritisierten mangelnden Klarheit, welche Branchen hiermit gemeint sind, lässt sich jedoch aus dem IT-Sicherheitsgesetz herauslesen, dass zumindest Betreiber von Telekommunikationsdiensten und Energieversorger umfasst sind. Ein derartiger Ansatz wäre bei einem möglichen österreichischen IT-SicherheitsG im Übrigen ebenfalls sinnvoll. Zu hoffen bleibt jedoch, dass das für Herbst 2016 angekündigte Cybersicherheitsgesetz sich die (deutschen) Kritiken zu Herzen nimmt und bereits von Beginn an eine umfassendere Definition kritischer Infrastrukturen vornimmt.

Angenommen, das eigene Unternehmen würde nun dem IT-Sicherheitsgesetz oder einem gleichartigen österreichischen Gesetz unterfallen, wäre zu ermittlen, welche Pflichten dies für den Unternehmer bedeuten würde.

Wie oben ausgeführt, handelt es sich bei dem IT-Sicherheitsgesetz nicht um einen einheitlichen Text, sondern um ein Bündel an Normen, die in bereits vorhandene Gesetze eingefügt wurden, allen voran in das Ausschreiben (BSIG). Aus dem BSIG ergibt sich primär, dass das Bundesamt für Sicherheit in der Informationstechnik jene Stelle ist, bei welcher sämtliche Informationen zusammenlaufen. Nach § 8 BSIG erarbeitet das Bundesamt überdies Mindeststandards, welche nach § 8a BSIG von den Anbietern kritischer Infrastrukturen aufgrund einer zu erlassenden Verordnung über diese Standards nachzuweisen und einzuhalten sind. Erfolgt keine Erfüllung und/oder Nachweis dieser Standards, sind in § 14 BSIG Bußgelder zwischen € 10.000,- und € 50.000,- vorgesehen.

Zusammengefasst liegt nach dem BSIG die Hauptpflicht der Betreiber kritischer Infrastrukturen darin, die vom Bundesamt erstellten und per Verordnung erlassenen Vorschriften einzuhalten. Die Informationen, welche Standards sinnvoll sind, werden dabei vom Bundesamt direkt ermittelt, wobei die Anbieter kritischer Infrastrukturen zusätzlich branchenspezifische Vorgehensweisen vorschlagen können.

Neben dem BSIG hat das IT-Sicherheitsgesetz überdies noch Änderungen in weiteren Gesetzen vorgenommen, etwa dem deutschen Atomgesetz oder dem deutschen Energiewirtschaftsgesetz. Diese Anpassungen bestehen in zusätzlichen Pflichten für die jeweiligen Branchen. Konkret geht es für die jeweiligen Branchen darum, ihre Systeme zur Abwehr von Beeinträchtigungen auf dem neuesten Stand zu halten, die Mindest-Standards des Bundesamtes einzuhalten sowie Cyber-Angriffe umgehend an das Bundesamt zu melden.

Auch in Österreich wäre bei der Schaffung des genannten Cybersicherheitsgesetzes ein derartiges System durchaus vorstellbar. Einerseits, weil Standards, welche durch Verordnung erlassen werden können in der Anpassung flexibler sind als bei Erlassung durch ein Gesetz und überdies, weil für kritische Infrastrukturen sowohl allgemeine wie auch branchenspezifische Standards zur Anwendung kommen. Daher es kann nur sinnvoll sein, die Standards für die Unternehmen nicht nur in einem zentralen Gesetz oder per zu erlassender Verordnung vorzusehen, sondern gleichsam auch bereits gesetzgeberisch auf die einzelnen Branchen einzuwirken. Derart könnte dann etwa im österreichischen Telekommunikationsgesetz eine Informations- und Update-Verpflichtung nach deutschem Vorbild vorgesehen werden.

Jedenfalls ist zu hoffen, dass der österreichische Gesetzgeber bereits bei Schaffung des Gesetzes die Betreiber kritischer Infrastrukturen weitgehend mit einbezieht, um hier von Beginn an für die Notwendigkeiten der Materie sensibilisiert zu sein.

Der Aspekt des Datenschutzes im IT-Sicherheitsgesetz

Immer mehr Firmen, gleich ob potentielle kritische Infrastrukturen oder nicht, werden Opfer von Cyber-Angriffen. Dies könnte dem User an sich gleichgültig sein, wären da nicht die persönlichen Daten, von denen man mittlerweile wohl nicht mehr im Einzelnen weiß, welches Unternehmen welche und auch wie viele der eigenen Daten gerade gespeichert hat. Denn persönliche Daten sind ein Gut, für welches in den Weiten des Web mitunter gut bezahlt wird und dies nicht nur, da man dadurch in der Lage ist, Personen zielgerichtet zu bewerben.

Die Daten von User können (leider) gut dazu verwendet werden, um auf private Computer-Systeme zuzugreifen, Phishing-Attacken und eMail-Betrug durchzuführen oder – im schlimmsten Fall – Identitätsdiebstahl zu begehen. Alleine aus diesem Grund dürfte es für den Einzelnen von hohem Interesse sein, wie es um die persönlichen Daten bestellt ist.

Anzumerken ist noch, dass das Folgende unter der Annahme dargestellt wird, dass das deutsche IT-Sicherheitsgesetz exakt gleich in Österreich umgesetzt werden würde. Zwar wird dies aller Voraussicht nach nicht der Fall sein bei einer entsprechenden österreichischen Gesetzes-Initiative, aber nur so kann eine Darstellung unter Einbeziehung des österreichischen Datenschutzrechtes erfolgen.

Der österreichische Datenschutz richtet sich grundsätzlich nach dem Datenschutzgesetz (DSG 2000), welches von verschiedenen Verordnungen, etwa zur Datenverarbeitung flankiert wird. Bereits aus § 1 DSG ergibt sich das Grundrecht auf Datenschutz, welches sogar als Verfassungsbestimmung ausgelegt ist, also nur schwer vom Gesetzgeber verändert und/oder abgeschafft werden kann.
Vom DSG geschützt sind jedenfalls Daten, die eine Identifikation einer Person möglich machen sowie ‚sensible Daten‘, also Informationen über die persönliche Überzeugung einer Person, ihre politische oder sexuelle Ausrichtung sowie ein allfälliges religiöses Bekenntnis.

Grundsätzlich steht das österreichische – wie auch das deutsche – Datenschutzrecht auf dem Standpunkt, dass jedwede Verarbeitung von Daten solange unzulässig ist, als nicht ein gesetzlicher Rechtfertigungsgrund gegeben ist. Das DSG bietet hierfür in den §§ 6 ff DSG Richtlinien, etwa dass die Verwendung zu einem eindeutigen und rechtmäßigen Zweck (zB Verwendung von Kundendaten in der Buchhaltung) erfolgen muss. Das bloße Sammeln von Daten ohne konkreten Zweck und Einschränkung ist demgegenüber zumindest bedenklich und in der Regel nicht zulässig.

Eingeschränkt wird dies unter anderem dadurch, dass Daten dann verarbeitet werden dürfen, wenn sie in anonymisierter Form zur Verfügung stehen oder sogar von der jeweiligen Person selbst öffentlich gemacht wurden. Bestes Beispiel für eine derartige Veröffentlichung ist die Eingabe von persönlichen Informationen in einem Sozialen Netzwerk, ohne dass hierzu eine Verpflichtung oder Notwendigkeit bestehen würde.

Die §§ 14 f DSG regeln in der Folge die Anforderungen an datenverarbeitende Unternehmen hinsichtlich der Datensicherheit. Zusammengefasst wird gesetzlich gefordert, dass ein Schutz vor unerlaubten Zugriffen, Löschung und/oder Veränderung auf dem aktuellen Stand der Technik besteht. Dieser Schutz kann durch Maßnahmen wie der Beschränkung und Protokollierung von Zugriffen und ähnlichen Vorkehrungen erreicht werden, weiters unterliegt das datenanwendende Unternehmen und dessen Mitarbeiter der Geheimhaltungspflicht.

Erfolgt eine Datenverwendung entgegen den Bestimmungen des DSG und kommt dem verwendenden Unternehmen ein Verschulden zu, kann dieses nach § 33 DSG dem Betroffenen gegenüber nach den allgemeinen zivilrechtlichen Bestimmungen des ABGB schadenersatzpflichtig werden. Weiters sind – insbesondere bei Verletzungen der einzuhaltenden Sicherheit – Verwaltungsstrafen in § 52 DSG bis zu € 25.000,- vorgesehen.

Erwähnenswert im Zusammenhang mit dem IT-Sicherheitsgesetz ist nach § 48a DSG, der zumindest öffentlichen Stellen im Katastrophenfall einen gewissen Freiraum bei der Verarbeitung von an sich geschützten Daten ermöglich. Doch selbst diese sind nach der Erreichung des unmittelbaren Zwecks der Verarbeitung (zB zum Katastrophenschutz) umgehend wieder zu löschen.

Ungeachtet dessen, dass sich das IT-Sicherheitsgesetz letztlich auch in gewisser Hinsicht auf den Katastrophenfall bezieht, liegt die Verbindung zum Datenschutzrecht doch wesentlich im Bereich der Datensicherheit und endet dort auch wieder. Betrachtet man das IT-Sicherheitsgesetz hat es nämlich an sich eine gewisse andere Zielrichtung als das DSG.
Das IT-Sicherheitsgesetz macht es sich zur Aufgabe, kritische Infrastrukturen selbst vor unerlaubten Zugriffen zu schützen und versucht im Wege der Vorgabe von Sicherheits-Standards dieses Ziel für die betroffenen Branchen zu verwirklichen. Demgegenüber stehen die Daten der Kunden nicht im Vordergrund, allerdings kann gut und gerne angenommen werden, dass diese jedenfalls von den vorgeschriebenen Maßnahmen im IT-SicherheitsG mitumfasst sein sollen, da es letztendlich um den Gesamt-Schutz eines Unternehmens geht.

Auch im Falle eines österreichischen IT-Sicherheitsgesetz wäre die Situation wohl eine Ähnliche. Das DSG bietet bereits – seiner Ausrichtung nach – einen umfassenden Schutz der persönlichen Daten und Vorschriften zur deren Sicherung sowie allfällige Strafen, wenn die Vorgaben nicht eingehalten werden. Ein IT-Sicherheitsgesetz würde hier in dem Bereich der Datensicherheit jedenfalls flankierend wirken, die Hauptausrichtung wäre aber klar eine Andere.

Der Entwurf eines Österreichischen IT-Sicherheitsgesetz

Wie weiter oben angesprochen, soll bereits mit Herbst 2016 ein Entwurf für ein Österreichisches IT-Sicherheitsgesetz präsentiert werden. Zumindest wenn man nach den derzeitigen Informationen – etwa diesem Artikel vom 13.06.2016 auf Futurezone – geht, erinnert der Entwurf sehr an das deutsche IT-Sicherheitsgesetz. Ebenfalls geht es darum, dass Cyberattacken auf Unternehmen meldepflichtig sein sollen, dies unter der entsprechenden Wahrung des Datenschutzes. Auch Strafen sind angedacht, wenn die Meldepflichten nicht erfüllt werden. Wie in Deutschland scheint aber auch der österreichische Gesetzgeber vor dem Definitionsproblem der kritischen Infrastrukturen zu stehen, kann hier aber jedenfalls von der Situation in Deutschland und den dortigen Lösungen profitieren.

Unbekannt ist derzeit, ob das Cybersicherheitsgesetz, also ein österreichisches IT-Sicherheitsgesetz, ganz nach dem deutschen Vorbild als ‚Bündel von Gesetzen‘ oder aber als separates (einzelnes) Gesetz geplant ist. Allerdings ist die Bündelvariante, welche in Deutschland gewählt wurde, durchaus von Vorteil zumal die entsprechenden Vorgaben und Pflichten direkt in jene Gesetze eingefügt werden, welche die potentiellen kritischen Infrastrukturen direkt betreffen. So wäre es etwa denkbar, eine Definition in die Gewerbeordnung (GewO) einzufügen, wes sicherlich der Transparenz dienlich wäre.

Fraglich ist natürlich auch noch, welche Behörde – geht man nach der deutschen Gesetzgebung – mit der Koordination der Meldungen sowie der Kommunikation und Strategieplanung gegen Cyberattacken befasst sein wird. Hier hat der Gesetzgeber in Österreich die Möglichkeit eine neue Behörde zu schaffen oder auf bestehende Strukturen zurückzugreifen.

Jedenfalls sinnvoll ist es hinsichtlich den Standards für die kritischen Infrastrukturen den Weg des deutschen Gesetzgebers zu gehen. In Deutschland wurde im IT-Sicherheitsgesetz hinsichtlich der Standards auf eine separate Verordnung verwiesen, welche (leider) erst zu einem späteren Zeitpunkt erging. Eine – auch in Österreich gesetzliche Möglichkeit – würde ebenfalls ein gewisses Mehr an Flexibilität hinsichtlich der kritischen Infrastrukturen bieten, jedoch sollte sie zeitnah zum Cybersicherheitsgesetz ergehen.

Wo sich das österreichische Cybersicherheitsgesetz deutlich von dem deutschen IT-Sicherheitsgesetz abheben könnte, ist der Aspekt des Daten- und Konsumentenschutzes. Wie etwa heise.de meldete, gab es bereits sieben meldepflichtige Attacken in Deutschland, auf welche das IT-Sicherheitsgesetz Anwendung findet. Ob und wie hier Daten Privater ‚erbeutet‘ wurden ist fraglich und ist dies definitiv ein Problem, welches in Zukunft noch zunehmen wird.

Derart ist zu hoffen, dass das Cybersicherheitsgesetz in Österreich nicht nur für Betreiber kritischer Infrastrukturen Standards und Meldepflichten vorsieht, sondern darüber hinaus auch Informationspflichten anordnet. Bereits jetzt bestehen in Österreich, etwa nach dem FAGG oder dem E-CommerceG sowie dem Telekommunikationsgesetz (Cookie-Hinweis nach § 96 Abs 3 TKG) Verpflichtungen dem User/Konsumenten bestimmte Informationen klar zur Verfügung zu stellen. Dies sollte dadurch erweitert werden, dass den Usern zumindest bekannt zu machen ist, ob es sich bei dem jeweiligen Unternehmen um einen Betreiber kritischer Infrastrukturen handelt und welche Meldepflichten vorgegeben sind. Auch eine Information oder Hinweis auf die einzuhaltenden Standards könnte wesentlich der Transparenz dienen.

Fazit

Zusammengefasst ist daher zu sagen, dass wenn sich der Gesetzgeber in Österreich entscheidet, bei einem Cybersicherheitsgesetz das deutsche IT-Sicherheitsgesetz zum Vorbild zu nehmen, dies sicher ein richtiger Weg ist. Dennoch sollte auch der User-Schutz in den Entwurf Eingang finden, damit User in Zukunft darüber informiert werden, ob sie ihre Daten einer kritischen Infrastruktur anvertrauen oder nicht.

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at