Juristische Informationen für
die Unternehmensleitung.
Juristische Informationen für
die Unternehmensleitung.
RA Günter Untucht | Associate General Counsel & Director of EMEA Legal
Günter Untucht sammelte Berufserfahrung als selbstständiger Rechtsanwalt,
Syndikus und Geschäftsführer: Er arbeitete 10 Jahre als internationaler Justiziar
in der Pharmaindustrie (bei Gödecke, Warner-Lambert/Parke-Davis, nun: Pfizer) –
auch in Industrieverbänden – und ist inzwischen seit 22 Jahren in der IT-Industrie
engagiert – seit 6 Jahren bei Trend Micro, davor bei BearingPoint (KPMG Consulting), Global Knowledge, Compaq Computer und Tandem Computers – und war
stets mit Führungsaufgaben auf EMEA-Ebene und globalen Funktionen betraut.
Rechtsanwältin Dr. Bettina Windisch-Altieri, Windisch Law Offices, Wien
Dr. Bettina Windisch-Altieri ist seit 1999 österreichische Rechtsanwältin.
Ihr Studium absolvierte sie an der Universität Wien (Dr. iur.) sowie an der
Universität Madrid Complutense. Während ihrer Berufsausbildung war sie bei
Schönherr Rechtsanwälte/Wien tätig. Als Partnerin und Sozia arbeite sie für
namhafte Kanzleien wie Wolf Theiss Rechtsanwälte/Wien und Haarmann
Hügel Rechtsanwälte/Wien. 2004 gründete Dr. Bettina Windisch-Altieri ihre
eigene Kanzlei, die sie seit 2007 unter dem Namen Windisch Law Offices führt.
Dr. Bettina Windisch-Altieri
ist als Anwältin spezialisiert im Bereich des
Hotline für Endanwender:
Unternehmensrechts sowie Telekom- und
DE: 0800 / 330 4533
IT-Rechts tätig.
Kostenfrei aus dem deutschen Festnetz.
Stand: Juni 2012 – 3. Auflage – Version 3.0
AT: 0800 / 880 903
Kostenfrei aus dem österreichischen Festnetz.
CH: 0800 / 330 453
Kostenfrei aus dem Schweizer Festnetz.
Hotline für Fachhandelspartner:
DE: 01805 / 01 08 73
14 Cent/Minute aus dem deutschen Festnetz.
Bei Anrufen aus dem deutschen Mobilfunknetz abweichende Preise von höchstens 42 Cent/Minute.
[email protected]
AT: 0820 / 40 11 47
11,6 Cent/Minute aus dem österreichischen Festnetz.
Abweichungen für Anrufe aus dem Mobilfunknetz möglich.
Internet und
IT-Security im
Unternehmen
[email protected]
CH: 0842 / 01 08 73
Trend Micro Deutschland GmbH
11 Rappen/Minute aus dem Schweizer Festnetz.
Abweichungen für Anrufe aus dem Mobilfunknetz möglich.
Zeppelinstraße 1 • 85399 Hallbergmoos
[email protected]
Tel.: +49 (0) 811 / 88 99 0 - 700
Fax: +49 (0) 811 / 88 99 0 - 799
www.trendmicro.com
Trend Micro Deutschland GmbH, Zeppelinstraße 1, 85399 Hallbergmoos
© 2012 by Trend Micro. Alle Rechte vorbehalten. Zitate bei genauer Quellenangabe gestattet.
Trend Micro und das Trend Micro t-ball Logo sind Handelsmarken oder eingetragene Handelsmarken von Trend Micro.
3. Auflage | Juni 2012 | Verfasst für Österreich
Internet und IT-Security im Unternehmen
Juristische Informationen für die Unternehmensleitung
Ohne den Einsatz von Informationstechnologie ist die Führung eines Unternehmens heute
kaum mehr denkbar. Die Nutzung des Internets bietet jede Menge Möglichkeiten: von der
fast grenzenlosen Recherche über die schnelle Übermittlung von Dokumenten, Bildern,
Software oder Musik, bis zum Abschluss von Rechtsgeschäften wie beispielsweise der OnlineBestellung von Waren. E-Mails führen als Kommunikationsmedium zu fast ständiger
Erreichbarkeit und neuen Reaktionsgeschwindigkeiten. Der Informationsaustausch innerhalb
von Unternehmen und die Kommunikation mit Kunden, Partnern oder Zulieferern wird
dadurch erheblich beschleunigt.
Allerdings bietet die Informationstechnologie nicht nur Vorteile: Die E-Mail- und InternetNutzung durch Mitarbeiter kann zu datenschutzrechtlichen Problemen im Unternehmen
führen. Der Missbrauch von IT-Infrastruktur oder Datendiebstahl hat unter Umständen nicht
nur strafrechtliche Konsequenzen, sondern kann auch (zivilrechtliche) Schadensersatzverpflichtungen gegen das Unternehmen begründen.
Im Rahmen der Corporate Governance ist IT-Security und IT-Compliance für die
Geschäftsleitung von Unternehmen von großer Bedeutung. Sie stellt sicher, dass
Geschäftsführer, Vorstand oder Aufsichtsrat den einschlägigen rechtlichen Anforderungen
gerecht werden können und ihren Pflichten nachkommen.
Für den Bereich des E-Commerce ist relevant, wie Verträge über das Internet geschlossen
werden, welche Verbraucherschutz-Regelungen einzuhalten sind und wie eine elektronische
Rechnung rechtswirksam gestellt werden kann.
Dieser Leitfaden gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz
von IT-Infrastruktur und Internet in Unternehmen relevant sind. Dabei liegt der Schwerpunkt
auf IT-Security. Die nachfolgenden Kapitel enthalten juristische Informationen für die
Geschäftsleitung, jedoch keine konkrete Handlungsanweisung oder -anleitung. Diese
Hinweise sind lediglich allgemeiner Art und können weder eine Untersuchung des jeweiligen
Einzelfalls noch eine Rechtsberatung durch eine interne Rechtsabteilung bzw. einen
Rechtsanwalt ersetzen.
Auch wenn die Autoren schon seit vielen Jahren im Bereich des IT- und Internet-Rechts sowie der IT-Security tätig sind und
sorgfältig recherchiert haben, übernehmen sie für die Richtigkeit und Vollständigkeit dieses Leitfadens keine Haftung.
Internet und IT-Security im Unternehmen
1
2
I. Die Themen im Überblick
Die Sicherstellung der IT-Security ist originäre Pflicht und Aufgabe der
Unternehmensleitung. Sie umfasst insbesondere:
• Wirksame Schutzmaßnahmen gegen Angriffe von außen, z.B. durch Hacker,
Viren oder sog. Botnets (ferngesteuerte Netzwerke von infizierten Computern)
• Einhaltung der datenschutzrechtlichen Pflichten
• Regelmäßige Erstellung von Backups
• Berücksichtigung von Handlungsanleitungen, Best Practice-Vorgaben und
Wirtschaftsprüfungsstandards
Bei Nichtbeachtung drohen als Sanktionen u.a. zivilrechtliche Schadensersatzansprüche
von Geschädigten gegen das Unternehmen, Geldbußen, ökonomische Nachteile wie z.B.
ein schlechteres Kreditrating, Verlust des Versicherungsschutzes oder der Ausschluss bei
der Vergabe öffentlicher Aufträge.
Geschäftsführer, Vorstände und Aufsichtsräte können
zudem persönlich in die Haftung genommen werden.
Der Einsatz neuer Technologien im Unternehmen wie Cloud Computing und Social Media
und der Trend der „Consumerization“ bringen zusätzliche rechtliche Anforderungen mit sich.
Der Missbrauch von IT-Infrastruktur und der Datendiebstahl können nach mehreren
Vorschriften strafbar sein. Dazu zählen z.B. die Verletzung des Telekommunikationsgeheimnisses, das missbräuchliche Abfangen von Daten oder die Verletzung von Geschäftsund Betriebsgeheimnissen.
Ein heikles Thema für die Beziehungen zwischen der Geschäftsleitung und den Mitarbeitern
eines Unternehmens (und ihren Vertretungsorganen) stellt die Nutzung des vom Unternehmen zur Verfügung gestellten E-Mail-Accounts und Internetzugangs für private
Zwecke dar. Hierbei kommt es darauf an, die Weichen richtig zu stellen.
Bei der Teilnahme am elektronischen Geschäftsverkehr können ebenso verbindliche
Verträge geschlossen werden, wie außerhalb des Internets. Zur Gewährleistung der
Authentizität und der Integrität elektronischer Willenserklärungen und Dokumente sowie
bei der elektronischen Rechnungslegung kann auf die elektronische Signatur zurückgegriffen werden.
I. Die Themen im Überblick
3
4
II. IT-Security und IT-Compliance
im Unternehmen
Im Rahmen der Corporate Governance soll die Unternehmensleitung und -überwachung
transparent gemacht werden, um das Vertrauen in die Unternehmensführung zu stärken.
Der Vorstand bzw. die Geschäftsführung hat die Einhaltung der gesetzlichen Bestimmungen
zu gewährleisten, auf deren Beachtung durch die Konzernunternehmen hinzuwirken und für
ein angemessenes Risikomanagement und -controlling im Unternehmen zu sorgen. Die
Sicherstellung der IT-Security und der IT-Compliance bilden dabei wichtige Bausteine.
1. Generelle Anforderungen an die IT-Security
Das Schlagwort „IT-Security“ umfasst nicht nur Schutzmaßnahmen der Unternehmen gegen
Angriffe auf ihre IT-Infrastruktur, sondern schließt auch zahlreiche rechtliche Aspekte ein.
Im Auftrag des Bundeskanzleramts hat
A-SIT (Zentrum für sichere Informationstechnologie - Austria) das Österreichische
Informationssicherheitshandbuch im Jahr 2010 aktualisiert und nun erstmals elektronisch
umgesetzt, sodass es einer laufenden Aktualisierung unterzogen werden kann
(https://www.sicherheitshandbuch.gv.at). Das Handbuch befasst sich im Wesentlichen mit
IT-Sicherheit und Querschnittstellen zum Schutz von Informationen unabhängig von ihrer
Darstellungsform.
Das Handbuch richtet sich sowohl an die öffentliche Verwaltung als auch an die Wirtschaft
und versteht sich als Sammlung von Leitlinien und Empfehlungen. Es stellt eine Ergänzung
zu den bestehenden Regelungen und Vorschriften (wie z.B. Datenschutzrecht) dar.
Ergänzend hat die österreichische Wirtschaftskammer 2011 das aktuelle IT-Sicherheitshandbuch veröffentlicht (http://www.it-safe.at/uploads/ic_hb_11_3110s_402_DE.pdf). Dieses
Handbuch umfasst Themen wie Risikomanagement, Datensicherung, Internetzugang,
Virenschutz, Computersicherheit, personelle, bauliche und infrastrukturelle Maßnahmen und
Einhaltung rechtlicher Vorgaben.Folgende Aspekte stehen im Vordergrund:
a) Sicherstellung der Verfügbarkeit
Der Schutz vor Informationsverlust, Informationsentzug, Informationsblockade und
Informationszerstörung muss gewahrt werden. Wichtige Kunden- oder Geschäftsdaten
müssen während der üblichen Arbeitszeiten permanent verfügbar sein, damit der
fortlaufende Geschäftsbetrieb nicht beeinträchtigt wird.
Unternehmen sind verpflichtet, ihre IT-Infrastruktur zu den üblichen Geschäftszeiten zur
Verfügung zu stellen. Sofern Unternehmen ihren Kunden Online-Services anbieten, sollten
II. IT-Security und IT-Compliance im Unternehmen
5
sie deren Verfügbarkeit entweder in Service Level Agreements (SLA) regeln oder den
Zugang – mit Ausnahme üblicher Wartungsintervalle – „rund um die Uhr“ gewährleisten.
Dabei muss eine regelmäßige Datensicherung vorgenommen und die IT-Infrastruktur insbesondere gegen Schad-Software („Malware“), Virenausbrüche und Angriffe von Hackern
geschützt werden. Die Maßstäbe hierfür werden ohne Zweifel durch den permanenten
technologischen Fortschritt gesetzt. Daher kann es z.B. erforderlich sein, wegen der ständig
zunehmenden mobilen Telekommunikation und Virtualisierung der IT-Systeme
Echtzeitschutz im Rahmen von kollektiven Sicherheitsnetzwerken in Anspruch zu nehmen.
b) Sicherstellung der Unversehrtheit
Unternehmen müssen ihre IT-Infrastruktur gegen ungewollte Informationsveränderungen
schützen. Unbefugte dürfen unter keinen Umständen Daten verändern können. Besonders
sensible Daten - wie Buchhaltungsunterlagen oder elektronisch gespeicherte rechtsverbindliche Erklärungen müssen ausreichend gegen externe Angriffe geschützt sein. Hinzu kommt
der Schutz der Integrität von Dokumenten gegen unbefugte Änderungen - beispielsweise
durch die sog. elektronische Signatur.
Das Österreichische Informationssicherheitshandbuch beschäftigt sich auch mit der
Datensicherung und sieht dabei folgende Maßnahmen vor:
• regelmäßige Datensicherung,
• Entwicklung eines Datensicherungskonzeptes,
• Festlegung des Minimaldatensicherungskonzeptes,
• Beschaffung eines geeigneten Datensicherungssystems,
• Sicherungskopie der eingesetzten Software,
• Verpflichtung der Mitarbeiter zur Datensicherung.
c) Sicherstellung der Vertraulichkeit
Vertrauliche Unternehmensinformationen sollten nicht von Dritten ausgespäht werden
können. Dies betrifft insbesondere drei Arten von Daten:
• personenbezogene Daten, die dem Datenschutz unterliegen,
• Inhalte der Telekommunikation und deren nähere Umstände, die
durch das Kommunikationsgeheimnis geschützt sind, sowie
• Geschäfts- und Betriebsgeheimnisse von Unternehmen.
Der Zugriff auf derartige Daten und Informationen darf nur berechtigten Personen
möglich sein. Im Rahmen der IT-Security sind sowohl Zugriffsbeschränkungen als auch
6
II. IT-Security und IT-Compliance im Unternehmen
Schutzvorrichtungen gegen das Ausspähen von Daten durch Externe ebenso wie gegen
Datenmissbrauch durch Interne und Datenlecks einzurichten.
d) Sicherstellung der Authentizität
Schließlich ist die Authentizität der handelnden Personen sicherzustellen. Insbesondere
wenn Geschäftskontakte ausschließlich online erfolgen, kennen sich die Vertragsparteien
nicht unbedingt persönlich. E-Mail-Absender können fingiert sein, Webseiten können gar
kein oder ein falsches Impressum enthalten.
Mittels der elektronischen Signatur lässt sich sicherstellen, dass es sich bei dem
Vertragspartner auch um die Person handelt, für die er sich ausgibt. Zusätzlich sollte
elektronische Post aber auch auf ihrem Weg zum Empfänger durch geeignete
Verschlüsselungstechnologie für unbefugte Augen unlesbar gemacht werden.
2. Rechtliche Pflichten zur IT-Security
IT-Security ist nicht Selbstzweck, sondern rechtliche Verpflichtung der Unternehmensleitung.
a) Anforderungen an die Unternehmensleitung und andere Beteiligte
Der österreichische Corporate Governance Kodex wurde erstmals am 1. Oktober 2002
veröffentlicht. Er stellt den Maßstab für gute Unternehmensführung und Unternehmenskontrolle am österreichischen Kapitalmarkt dar und wird jährlich anhand nationaler und
internationaler Entwicklungen modernisiert. Seit dem Unternehmensrechts-Änderungsgesetzes 2008 haben alle börsennotierten Unternehmen den Corporate Governance Bericht
verpflichtend zu erstellen, der insbesondere auch eine Erklärung über etwaige Abweichungen vom Kodex vorsieht (sog. Comply or Explain – Prinzip). Der Kodex richtet sich grundsätzlich an börsennotierte Unternehmen, kann aber auch von anderen als Leitlinie ordnungsgemäßer und transparenter Unternehmensführung herangezogen werden. Die Unternehmen
können sich dem Kodex freiwillig unterwerfen.
Der Kodex betrifft vor allem die Arbeitsweise der Leitungsorgane, ihre Zusammenarbeit und
die Kontrolle ihres Verhaltens. Dabei wird nicht nur eine optimale Unternehmensführung,
sondern auch eine allgemeine Überwachung dieser Führung, Kontrolle und Transparenz
beschrieben, wozu auch eine optimale IT-Security des Unternehmens gehört. Im Kapitel
„Transparenz und Prüfung“ werden insbesondere die Aufstellung des Corporate Governance
Berichts, die Rechnungslegung und die Kommunikationseinrichtungen geregelt. Danach hat
die Gesellschaft bei der Erstellung ihres Corporate Governance Berichts die Pflichtangaben
gemäß § 243 b UGB und bei Erstellung ihres Konzernabschlusses die internationalen
Rechnungslegungsstandards (wie z.B. IAS 34, IFRS und US-GAAP) zu beachten. Der Kodex
II. IT-Security und IT-Compliance im Unternehmen
7
besagt weiters, dass das Unternehmen über die gesetzlichen Mindestforderungen hinaus
eine externe Kommunikation etablieren soll, die Informationsbedürfnisse zeitnah und ausreichend deckt, wie z.B. Verfügungstellung von Finanz- und Konzernberichten auf der Webseite
der Gesellschaft, unverzügliche Bekanntmachung von Insider-Informationen, die die
Gesellschaft unmittelbar betreffen oder Darstellung eines Finanzkalenders auf der Webseite
der Gesellschaft. Bei der Etablierung dieser Maßnahmen hat das Unternehmen auch die ITSicherheit zu beachten und die entsprechenden Vorkehrungen zu treffen.
Gemäß § 82 AktG und § 22 Abs 1 GmbHG sind Kapitalgesellschaften allgemein verpflichtet
ein internes Kontrollsystem (IKS) zu führen. Das IKS muss den Anforderungen des
Unternehmens entsprechen und individuelle, aufeinander abgestimmte und sich ergänzende
Methoden und Maßnahmen für die Organisation eines Unternehmens vorsehen, die dazu
dienen, Fehler zu verhindern und die Einhaltung vorgegebener Normen zu gewährleisten,
um insbesondere
• die Vollständigkeit und Richtigkeit der geschäftlichen Aufzeichnungen zu sichern,
• die vorhandenen Vermögenswerte zu sichern,
• die betriebliche Leistungsfähigkeit zu steigern,
• die Geschäftsführung bei ihrer Überwachungsaufgabe zu unterstützen.
Das IKS umfasst alle dafür von der Geschäftsleitung angeordneten organisatorischen
Methoden und Maßnahmen. Die Elemente des IKS sind:
• Risikobeurteilung,
• Kontrollumfeld,
• Kontrolltätigkeiten,
• Information und Kommunikation.
Es ist also ein unternehmensweites Risikomanagement zu installieren. Teil der Risikoprävention ist dabei der Schutz der IT-Infrastruktur, also die Sicherstellung der IT-Security.
Die Unternehmensleitung ist dafür verantwortlich, wirksame Maßnahmen zum Schutz der ITInfrastruktur zu treffen (wie z.B. Datensicherung gegen Datenverlust, Datenmissbrauch) und
ein entsprechendes Risikomanagement einzurichten. Sollten Geschäftsführer bzw. Vorstände
diese Pflicht verletzen und das Unternehmen dadurch Schaden erleiden, könnten sie gegenüber ihrem Unternehmen persönlich haften.
Aber auch Unternehmensmitarbeiter können bei Verstößen gegen die Anforderungen der
IT-Sicherheit gegebenenfalls wegen Verletzung ihrer arbeitsvertraglichen Pflichten in
Anspruch genommen werden.
8
II. IT-Security und IT-Compliance im Unternehmen
Nach der durch das Unternehmensrechts-Änderungsgesetz 2008 neu eingeführten
Vorschrift § 243a UGB müssen nunmehr kapitalmarktorientierte Gesellschaften die wichtigsten Merkmale des IKS und des Risikomanagement auch in ihrem Lagebericht anführen.
Der IT-Security muss also von allen Beteiligten - auch in ihrem eigenen Interesse - höchste
Priorität eingeräumt werden!
b) Vermeidung öffentlich-rechtlicher Konsequenzen und ökonomischer Nachteile
Die Sicherstellung der IT-Security ist auch zur Vermeidung ökonomischer Nachteile für
Unternehmen von erheblicher Bedeutung.
Im Juni 2004 hat der Basler Ausschuss für Bankenaufsicht die „Neue Basler Eigenkapitalvereinbarung“ verabschiedet, die unter dem Stichwort „Basel II“ die Kapitalanforderungen an
Kreditinstitute stärker als bisher vom eingegangenen Risiko abhängig macht. Das neue
Rahmenwerk enthält gegenüber Basel II u.a. noch strengere Kapitalanforderungen für einzelne Risikoaktiva und erweiterte Offenlegungsvorschriften für Banken. Die neuen Regelungen
bringen erhöhte Sicherheitsanforderungen an IT-Systeme mit sich. Am 16. Dezember 2010
wurden auf der Grundlage von Basel II neue Eigenkapital- und Liquiditätsregeln für Banken,
das sogenannte „Basel-III-Rahmenwerk“, beschlossen und veröffentlicht. Die europäische
Umsetzung soll durch die sogenannten Capital Requirement Directives IV (CRD IV), teils in
verordnungs- und teils in richtlinienform erfolgen und bereits am 1.Jänner 2013 in Kraft treten. Bei der Finanzierung von Unternehmen sind besonders versteckte organisatorische
Risiken zu beachten. Für Unternehmen, die stark von der Funktionsfähigkeit ihrer IT-Infrastruktur abhängig sind, ist die IT-Sicherheit für das Rating und damit auch für die Kreditkonditionen von großer Bedeutung.
Auch der US-amerikanische Sarbanes-Oxley Act (SOX) hat auf europäische Unternehmen
Einfluss, wenn sie an einer amerikanischen Wertpapierbörse notiert sind oder ein solches
Unternehmen als Muttergesellschaft haben. Diese Unternehmen müssen u.a. ein Kontrollsystem für Finanzdaten vorhalten, mit dem auch Anforderungen an IT-Systeme impliziert
werden, da in aller Regel Finanzdaten elektronisch verarbeitet werden. Verstöße gegen SOX
können Auswirkungen auf das Börsen-Listing sowie Bußgelder oder sogar Gefängnisstrafen
für die verantwortlichen Manager nach sich ziehen.
Aus der Sarbanes-Oxley Act ergibt sich auch die Verpflichtung von europäischen Tochterunternehmen sog. „Whistleblowing“-Hotlines als internes Kontrollsystem zu führen, bei
denen Mitarbeiter interne Missstände aufzeigen können bzw müssen. In Österreich sind die
von der Datenschutzkommission aufgestellten Anforderungen an die Genehmigung der
Whistleblowing-Systeme zu beachten.
II. IT-Security und IT-Compliance im Unternehmen
9
Wirtschaftsprüfer können bei börsennotierten Aktiengesellschaften das Testat im Rahmen
der Jahresabschlussprüfung verweigern, wenn die IT-Sicherheitsstandards unzureichend
sind. Das Anfang Juni 2008 in Kraft getretene Unternehmensrechts–Änderungsgesetz, das
die EU-Abschlussprüferrichtlinie (so etwas wie ein „Euro-SOX“) in österreichisches Recht
umsetzt, verschärft die Anforderungen an Abschlussprüfer. Zudem ist die Wirksamkeit des
internen Kontroll- und Risikomanagementsystems kapitalmarktorientierter Unternehmen
nach der daraus resultierenden Änderung des Corporate Governance Kodex von 2009
durch den Aufsichtsrat oder einen von ihm bestellten Prüfungsausschluss besser zu kontrollieren. Auch wenn nach diesen Gesetzesänderungen die Entscheidung über Einrichtung, Art
und Umfang eines Risikomanagementsystems weiter im Aufgabenbereich der Geschäftsführung bzw. des Vorstands liegt, wurden die Anforderungen an die IT-Compliance und
IT-Security nochmals erhöht und damit die Haftung von Vorstand und Aufsichtsrat verschärft. Dies etwa im Hinblick damit zusammenhängende Bestimmungen des Datenschutzgesetzes und die bisher zu diesem Thema ergangenen Entscheidungen der Datenschutzkommission, die die entsprechende Datenübermittlung an die Konzernmutter nur unter
gewissen Voraussetzungen zulassen. Abzuwarten sein wird, welche Standards der Vorstand
einer Aktiengesellschaft bei der seit dem Aktienrechts-Änderungsgesetz 2009 neu eingeführten Fernabstimmung (§§ 126, 102 Abs 3 Z 3 AktG) im Rahmen der Hauptversammlung
in puncto IT-Sicherheit einzuhalten haben wird. Ist eine Fernabstimmung gewünscht, steigen,
vor allem im Hinblick die Geheimhaltungspflichten, die technischen Anforderungen.
Öffentliche Auftraggeber könnten im Rahmen der Leistungsbeschreibung bei IT-relevanten
Aufträgen einen Nachweis über die IT-Sicherheit fordern. Anbieter, die dies nicht nachweisen
können, laufen Gefahr, dass ihr Angebot wegen Nichterfüllung der Leistungsbeschreibung
oder aufgrund mangelnder Zuverlässigkeit schon bei der ersten Prüfung ausgeschlossen wird.
Bei besonders schwerwiegenden Verstößen gegen die Grundsätze der IT-Security könnte
sogar die gewerberechtliche Befähigung des Unternehmens in Frage gestellt werden und
eine Gewerbeuntersagung erfolgen.
3. Konkrete Maßnahmen zur IT-Security und IT-Compliance
Nachfolgend werden einige konkrete Maßnahmen zur Sicherstellung der IT-Security und
IT-Compliance im Unternehmen vorgestellt. Dieser Maßnahmenkatalog basiert primär auf
rechtlichen Erwägungen und ist nicht abschließend. Seine Umsetzung sollte zwischen der
Unternehmensleitung, der IT-Abteilung, der Rechtsabteilung und gegebenenfalls externen
Beratern des Unternehmens (z.B. IT-Systemhäuser, externe Datenschutzbeauftragte,
Rechtsanwälte oder Wirtschaftsprüfer) abgestimmt werden.
10
II. IT-Security und IT-Compliance im Unternehmen
a) Schutz vor Hackern, Viren, Trojanern, Spyware, Botnets etc.
Aus den in Ziffer 2 dargestellten Gründen folgt bereits, dass Unternehmen zur Sicherstellung
der IT-Security wirksame Maßnahmen gegen Angriffe von außen implementieren müssen.
Der Schutz gegen Hacker, also fremde Dritte, die in Computersysteme des Unternehmens
eindringen und dabei Daten ausspähen, verändern oder zerstören, ist erforderlich, um die
Verfügbarkeit, Unversehrtheit und Vertraulichkeit der IT-Infrastruktur sicherzustellen und
personenbezogene Daten zu schützen. Dies gilt auch für Angriffe durch Schad-Software wie
Viren oder Würmer, sowie durch Trojaner, welche es einem Dritten ermöglichen, die
Kontrolle über ein EDV-System zu übernehmen. Über die Errichtung von sog. „Botnets“
(Netzwerke von infizierten Computern) gelingt es sog. „Botmasters“ mit kriminellen Zielen
immer häufiger, fremde Computer für sich zu nutzen, um z.B. Spam oder Denial of ServiceAttacken zu initiieren. Ebenso können sie mit Hilfe von Spyware fremde Daten sammeln oder
Computer dafür missbrauchen, illegal urheberrechtlich geschützte Werke herunterzuladen.
Die Abwehr gegen den Befall durch Schad-Software ist aus zweierlei Gründen wichtig: Zum
einem muss das Unternehmen seine eigene IT-Infrastruktur schützen, zum anderen muss es
verhindern, selbst haftbar gemacht zu werden.
Wird ein Unternehmenscomputer z.B. über ein Botnet dafür missbraucht, Viren oder Spam
an Dritte zu versenden, eine Denial of Service-Attacke zu initiieren oder Urheberrechtsverletzungen zu begehen, muss das Unternehmen unter Umständen für Unterlassung und
Schadensersatz einstehen. Dieser Fall kann bei unzureichenden Sicherungsmaßnahmen (z.B.
veralteter Virenschutz) des IT-Systems durchaus eintreten. In Österreich gibt es noch keine
gefestigte Rechtsprechung zu den Anforderungen an diesbezügliche Sicherungsmaßnahmen. In Deutschland dagegen hat der BGH in mehreren Erkenntnissen entschieden,
dass der Inhaber eines WLAN-Anschlusses, der es unterlässt, die im Kaufzeitpunkt des
WLAN-Routers marktüblichen Sicherungen ihrem Zweck entsprechend anzuwenden, als
Störer auf Unterlassung haftet, wenn Dritte seinen Anschluss missbräuchlich nutzen.
Der Einsatz und die Wartung entsprechender Virenschutz-Software ist daher zwingende
Voraussetzung, um die Anforderungen an die IT-Compliance zu erfüllen und die Haftung
gegenüber Dritten zu minimieren.
b) Datenschutz
• Technische und organisatorische Maßnahmen
Sofern personenbezogene Daten verarbeitet werden – was in aller Regel der Fall ist, wenn
Namen von Mitarbeitern, Kunden oder persönliche E-Mail-Adressen gespeichert werden –
sind die Anforderungen des Datenschutzrechts, insbesondere diejenigen des Datenschutzgesetzes 2000, idF BGBl I Nr 112/2011 (DSG) zu beachten. Hierbei ist besonderes Augenmerk
II. IT-Security und IT-Compliance im Unternehmen
11
darauf zu richten, dass auch eine Datenübermittlung innerhalb des Konzerns dem DSG entsprechen muss, insbesondere, wenn Daten an eine Konzerngesellschaft außerhalb der EU
übermittelt werden.
§ 14 DSG sieht bestimmte Maßnahmen zur Gewährleistung der Datensicherheit vor, wie z.B.:
• Zutrittskontrolle,
• Zugangskontrolle,
• Zugriffskontrolle,
• Verwendungskontrolle,
• Auftragskontrolle und
• Maßnahmendokumentation.
• Auftragsdatenverarbeitung
Sofern Unternehmen die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
an ein anderes Unternehmen durch die sog. Auftragsdatenverarbeitung auslagern, bleiben
sie für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Der Auftragsdatenverarbeiter muss nach seinen getroffenen technischen und organisatorischen Maßnahmen unter besonderer Berücksichtigung von § 14 DSG vom Auftraggeber ausgewählt werden. Die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse sind in dem entsprechenden Auftrag schriftlich festzulegen. Zudem muss der
Auftraggeber sich von der Einhaltung der getroffenen technischen und organisatorischen
Maßnahmen des Auftragnehmers überzeugen. Das Ergebnis ist zu dokumentieren.
Allerdings ist jeweils im Einzelfall zu prüfen, ob tatsächlich eine Auftragsdatenverarbeitung
vorliegt. Diese ist dadurch gekennzeichnet, dass der Auftraggeber Herr der Daten bleibt und
der Auftragnehmer seinen Weisungen unterliegt. Bei komplexer Technologie im Bereich der
Internet Content Security verfügt der Kunde häufig nicht über das fachliche Know-How, zu
einzelnen Arbeitsschritten Weisungen zu erteilen und deren korrekte Ausführung zu kontrollieren. Hier ist dann sicherzustellen, dass die Datenverarbeitung und -übermittlung nach
§ 11ffDSG zulässig ist.
• Sanktionen
Wer vorsätzlich personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich gemacht geworden sind oder die er sich
widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schützwürdiges Interesse hat, ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen (§ 51 DSG). § 52 DSG sieht eine Geldstrafe bis zu
EUR 25.000 vor, wenn jemand Daten vorsätzlich in Verletzung des Datengeheimnisses übermittelt oder für andere Zwecke verwendet.
12
II. IT-Security und IT-Compliance im Unternehmen
Außerdem besteht seit der DSG-Novelle 2010 nach § 24 Abs 2a DSG eine gesetzliche Pflicht
zur Benachrichtigung des Betroffenen, falls das Unternehmen Kenntnis von einer systematischen und schwerwiegenden unrechtmäßigen Verwendung personenbezogener Daten
Dritten erlangt. Dies soll vor allem der Vermeidung von Vermögensschäden der Betroffenen
dienen. Bei einer anderweitig nicht sicher erreichbaren Vielzahl von Betroffenen kann sogar
eine öffentliche Mitteilung in überregionalen Medien erforderlich werden. Der Einsatz von
Technologien zur Verhinderung von Datenlecks (sog. „Data Leak Prevention“) kann solchen
peinlichen Pressemitteilungen wirksam vorbeugen.
• Reform des Datenschutzrechts in der EU
Am 25. Januar 2012 hat die EU-Justizkommissarin Viviane Reding eine von der EU-Kommission
geplante umfassende Reform des Datenschutzrechts in der Europäischen Union vorgestellt,
nach der die Anforderungen an Unternehmen im Hinblick auf Datensicherheit steigen. Das
Paket umfasst eine Verordnung, die einen allgemeinen EU-Rechtsrahmen für den Datenschutz festlegt, und eine Richtlinie zum Schutz personenbezogener Daten, die zum Zwecke
der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten verarbeitet werden. Die Vorschläge werden nun beraten und sollen in ca. zwei bis drei Jahren in Kraft treten.
Nach den neuen Regelungen soll es künftig ein für alle 27 EU-Mitgliedstaaten einheitliches
Regelwerk zum Datenschutz geben. Unternehmen müssen danach bei schweren Verletzungen des Schutzes personenbezogener Daten in der Regel innerhalb von 24 Stunden die
nationale Aufsichtsbehörde benachrichtigen. Zudem sieht die vorgeschlagene Datenschutzverordnung künftig mehr Verantwortung sowie eine verschärfte Rechenschaftspflicht der
personenbezogene Daten verarbeitenden Unternehmen vor. Ferner sollen Bürger ein Recht
auf Datenkompatibilität haben, d.h. sie sollen ihre Daten bei einem Wechsel zu einem anderen Dienstleister „mitnehmen“ können. Darüber hinaus soll jede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem europäischen Markt aktive
Unternehmen, die ihre Dienste EU-Bürgern anbieten, künftig den EU-Vorschriften unterliegen. Verstöße gegen das Datenschutzrecht sollen künftig mit einer Geldbuße bis zu 1 Mio.
Euro oder 2 % des Jahresumsatzes eines Unternehmens geahndet werden können.
Für Unternehmen, die personenbezogene Daten – etwa ihrer Kunden, Mitarbeiter oder
Zulieferer – verarbeiten, bedeutet diese Reform vor allem höhere Anforderungen an Datensicherheit, Datenschutz und Datenmanagement. Auch Unternehmen außerhalb der EU, die
ihre Dienste EU-Bürgern anbieten, unterfallen dem EU-Gesamtregelwerk und müssen im
Zweifel ihre Services und ihre IT-Infrastruktur im Bereich Datenschutz und Datensicherheit
nachrüsten, um EU-datenschutzrechtskonform zu sein. Andernfalls drohen nicht nur
hohe Geldbußen, sondern Verlust an Reputation bei Kunden und in der Öffentlichkeit.
II. IT-Security und IT-Compliance im Unternehmen
13
c) Datensicherung
Das DSG stellt Datensicherheitsmaßnahmen und die Geheimhaltung der personenbezogenen Daten in den Vordergrund. Der Verwender hat sicherzustellen, dass die Daten vor zufälliger und unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung
ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind. Das DSG
macht die Datensicherung zur gesetzlichen Pflicht. Danach gilt Datensicherung als notwendiges Instrument für den Schutz personenbezogene Daten.
Sofern ein Unternehmen kein regelmäßiges Backup seiner Daten und seiner IT-Systeme
durchführt, ist im Falle eines durch Datenverlust entstehenden Schadens ein „haftungsreduzierendes Mitverschulden“ zu befürchten. Etwaige Schadensersatzansprüche gegen Dritte,
die an sich für den Datenverlust verantwortlich sind, sind somit nicht oder nur in stark
begrenztem Umfang durchsetzbar. Sollte ein Datenverlust erfolgen und die Daten mangels
ausreichender Backups nicht wiederhergestellt werden können, könnte aufgrund dieses grob
fahrlässigen Außerachtlassens von Sicherheitsvorkehrungen auch ein Verlust des
Versicherungsschutzes drohen.
d) Quellcode-Hinterlegung (Software-Escrow)
Wenn Unternehmen Software für unternehmenskritische Anwendungen nutzen und diese
von einem Softwareanbieter lizenzieren, erhalten sie die Software in der Regel nur im ausführbaren Objektcode. Dieser lässt sich – anders als der Quellcode – nicht lesen und bearbeiten. Stellt der Softwareanbieter seine Geschäftstätigkeit – etwa wegen Insolvenz – ein,
besteht die Gefahr, dass die Software nicht mehr gewartet wird und Fehler zu
Betriebsunterbrechungen und Schäden führen. Aus diesen Gründen wird häufig eine
Hinterlegung des Quellcodes der Software bei einer neutralen Hinterlegungsstelle (sog.
„Software-Escrow“) vereinbart, die den Quellcode bei Eintritt klar definierter Fälle wie etwa
der Insolvenz des Softwareanbieters an den Lizenznehmer herausgibt, damit dieser seine
weitere Nutzung und Pflege der Software sicherstellen kann. Allerdings ist bei Software,
deren Funktionalität von ständigen Aktualisierungen abhängig ist (wie dies etwa im Bereich
der Internet Content Security der Fall ist), die Quellcode-Hinterlegung kaum zweckmäßig,
denn selbst wenn dem Lizenznehmer der Quellcode bekannt ist, nützt ihm die Software
ohne die laufenden Aktualisierungen wenig. Zudem erhöht eine Offenlegung des Quellcodes
das Risiko, Schwachstellen der Software ausfindig zu machen und sie Angriffen von Hackern
auszusetzen. Das Unternehmen sollte daher sorgfältig abwägen, ob es Software einsetzt,
deren Quellcode offengelegt ist, für die ein Software-Escrow besteht oder bei der der
Quellcode geheim ist und weder offengelegt noch hinterlegt wird.
e) Arbeitsrecht und Arbeitsschutz
Im Rahmen der IT-Compliance sind die Mitbestimmungsrechte des Betriebsrats hinsichtlich
der Einrichtung und des Betriebs von IT-Systemen zu beachten. So stehen dem Betriebsrat
14
II. IT-Security und IT-Compliance im Unternehmen
z.B. Mitbestimmungsrechte bei der Einführung und Anwendung von technischen
Einrichtungen zu, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer
zu überwachen. Arbeitsplätze, Arbeitsablauf und Arbeitsumgebung sind an gesicherten
arbeitswissenschaftlichen Erkenntnissen auszurichten. Im Rahmen der IT-Compliance müssen also die Rechte des Betriebsrats gewahrt und die geltenden Arbeitsschutzvorschriften
beachtet werden.
In Betrieben ohne Betriebsrat unterliegt die Einführung und Verwendung von
Kontrollmaßnahmen und technischen Einrichtungen der Zustimmung der betroffenen
Arbeitnehmer. Eine solche Zustimmung kann in der Regel gekündigt werden.
f) Handlungsanleitungen und Best Practice-Vorgaben
Auch wenn es sich um keine für Unternehmen verbindliche Richtlinie handelt, stellen das
Österreichische Informationssicherheitshandbuch des Bundeskanzleramts
(https://www.sicherheitshandbuch.gv.at/) und das IT-Sicherheitshandbuch der österreichischen Wirtschaftskammer (http://www.it-safe.at/uploads/ic_hb_11_3110s_402_DE.pdf)
eine wichtige Handlungsanleitung für die praktische Umsetzung von IT-ComplianceAnforderungen in Österreich dar. Anhand dieser Handbücher können Unternehmen ein
angemessenes IT-Sicherheitsniveau erreichen. Die Standards dieser Handbücher enthalten
Empfehlungen zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und
Maßnahmen zur Informationssicherheit. Das Informationssicherheitshandbuch des
Bundeskanzleramts wird darüber hinaus laufend aktualisiert.
Der Grad der Sicherheit von IT-Systemen im Unternehmen wird überdies durch internationale
Sicherheitsstandards definiert. Hier kommen insbesondere folgende Standards zur Anwendung: Die ISO-Standards 13335, 17799 und A7799 (dies ist der BS7799, der in der ISO bzw.
der ÖNORM übernommen wurde) sowie die „IT Infrastructure Library“ (ITIL) können unter
anderem als Best Practice-Vorgaben herangezogen werden. Auch eine Zertifizierung des
Informationssicherheits-Managementsystems nach ISO 27001 ist möglich. Beachtet werden
weiters das British Standard 7799 und das IT Grundschutzhandbuch des Bundesamt für
Sicherheit in der Informationstechnologie in Deutschland. Als weiterer Standard kann auf die
„Control Objectives for Information and related Technology“ (COBIT) zurückgegriffen werden. Hierbei handelt es sich um ein international anerkanntes Framework zur IT-Governance,
welches vom IT-Governance Institute (ITGI) mittlerweile in der 5. Version veröffentlicht worden ist (für Mitglieder kostenlos abrufbar unter www.itgi.org).
g) Einhaltung von Prüfungsstandards
Die Kammer der Wirtschaftstreuhänder Österreich (KWT) hat verschiedene Prüfungsstandards wie z.B. KFS/DV1 (Grundsätze ordnungsgemäßer Buchführung bei Einsatz von
Informationstechnologie) mit verstärktem Bezug auf Datensicherheit und Datenschutz und
II. IT-Security und IT-Compliance im Unternehmen
15
KFS/DV2 (Richtlinie zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen) herausgegeben, die bei Abschlussprüfungen zu beachten sind (www.kwt.or.at; kostenlos abrufbar unter
http://www.kwt.or.at/de/PortalData/2/Resources/downloads/downloadcenter/53-KFS-DV2.pdf).
h) Anforderungen an die Buchhaltung
§§ 190, 212, 216 UGB iVm §§ 125 ff BAO enthalten Anforderungen an die Führung der
Handelsbücher und die Aufbewahrung der Unterlagen.
Der Unternehmer kann zur ordnungsgemäßen Buchführung und zur Aufbewahrung seiner
Geschäftsbriefe Datenträger benützen. Nach § 190 Abs 5 UGB muss bei der Führung der
Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar
sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können. Die inhaltliche Übereinstimmung der Wiedergabe mit den auf den maschinell lesbaren Datenträgern
geführten Unterlagen muss durch das jeweilige Archivierungsverfahren sichergestellt sein.
Der Unternehmer hat seine Bücher sieben Jahre lang geordnet aufzubewahren. Es ist
sicherzustellen, dass auch bei einer Erneuerung der IT-Infrastruktur oder einer Datenmigration das Unternehmen den Vorschriften des UGB gerecht wird.
i) Besondere Anforderungen an Banken und Finanzdienstleister
Das Bankwesengesetz (BWG) sowie § 30 Wertpapieraufsichtsgesetz (WAG) enthalten
besondere Organisationspflichten für Banken und Finanzdienstleister. Danach müssen
angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen
Datenverarbeitung getroffen werden. Sofern Bereiche auf ein anderes Unternehmen
ausgelagert werden, die für die Durchführung der Bankgeschäfte oder Finanzdienstleistungen wesentlich sind, dürfen weder die Ordnungsmäßigkeit dieser Geschäfte oder
Dienstleistungen noch die Steuerungs- oder Kontrollmöglichkeiten der Geschäftsleitung,
noch die Prüfungsrechte und Kontrollmöglichkeiten der Finanzmarktaufsicht (FMA) beeinträchtigt werden. In entsprechenden Rundschreiben der FMA werden diese Anforderungen
konkretisiert sowie Mindestanforderungen an das Risikomanagement aufgestellt. Banken
und Finanzdienstleister müssen diese organisatorischen Pflichten beachten - insbesondere
beim Outsourcing von IT -Leistungen.
4. Sanktionen bei Verstoß gegen Compliance-Anforderungen
an die IT-Security
Beim Verstoß gegen IT-Compliance-Anforderungen können folgende Sanktionen drohen,
die allerdings von Fall zu Fall unterschiedlich sind:
16
II. IT-Security und IT-Compliance im Unternehmen
a) Strafrechtliche Sanktionen
Vorsätzliche Verstöße - wie das Ausspähen von Daten, die Verletzung des
Kommunikationsgeheimnisses oder die Verletzung von Datenschutzvorschriften
in Bereicherungsabsicht - sind mit Geld- oder Freiheitsstrafe bedroht.
b) Verwaltungsübertretung
Verstöße gegen öffentlich-rechtliche Regelungen, wie das Datenschutzgesetz, können
eine Verwaltungsübertretung darstellen und zumeist nur Geldstrafen nach sich ziehen.
c) Haftung der Unternehmensleitung
Vorstands- oder Aufsichtsratsmitglieder sowie Geschäftsführer oder geschäftsführende
Gesellschafter sind der Gesellschaft persönlich zum Ersatz des Schadens verpflichtet,
welcher der Gesellschaft aufgrund schuldhafter Pflichtverletzung ihrer Organmitglieder
entsteht. Bei Aktiengesellschaften können unter gewissen Voraussetzungen selbst
Minderheitsaktionäre, auch wenn sie nur ein Prozent des Grundkapitals auf sich vereinigen,
die Durchsetzung solcher Schadensersatzansprüche einklagen.
d) Haftung von Arbeitnehmern
Arbeitnehmer, besonders IT-Sicherheitsverantwortliche, können gegenüber ihrem
Arbeitgeber schadenersatzpflichtig sein, wenn sie schuldhaft ihre Arbeitsleistung schlecht
erbracht und dadurch den Arbeitgeber geschädigt haben. Verstoßen sie gegen ComplianceAnforderungen an die IT-Security, kann das, je nach Grad des Verstoßes, im Extremfall eine
Abmahnung oder Entlassung, sowie zivilrechtliche Konsequenzen nach sich ziehen.
So hat zum Beispiel der OGH am 6.12.2000 entschieden, dass es unter den Tatbestand der
Vertrauensunwürdigkeit des § 27 Z 1 letzter Fall AngG fällt, wenn ein Dienstnehmer ein
lizenziertes Computerprogramm im Eigentum des Arbeitgebers ohne dessen Wissen und
Zustimmung für Dritte verwendet (OGH, 6.12.20009 ObA 275/00g, RdW 2001, 628), oder
am 30.7.2007, dass dieser Entlassungsgrund im Einzelfall gegeben sein kann, wenn
Dienstnehmer gegenüber Konkurrenten firmeninterne Daten nicht mit der gebotenen
Sorgfalt behandeln (OGH, 30.7.2007, 8 ObA 37/07k, DRdA 2007, 497).
Auch ein Verstoß gegen ein Verbot der privaten E-Mail- und Internetnutzung (siehe Kapitel
IV.) kann einen Entlassungsgrund darstellen. So hat zum Beispiel der Oberste Gerichtshof in
seiner Entscheidung (OGH 05.11.1997, ARD 4937/33/98) ausgesprochen, dass die private
Verwendung des Computers und der Computerprogramme des Arbeitsgebers einen
Entlassungsgrund darstellt, wobei es nicht darauf ankommt, ob der Arbeitnehmer dabei
weisungswidrig auch fremde Software installiert hat, oder ob die Installierung privater
II. IT-Security und IT-Compliance im Unternehmen
17
Programme überdies geeignet war, Viren einzubringen. Allein die gelegentliche private
Nutzung des Internets am Arbeitscomputer stellt allerdings keinen entlassungsbegründenden Vertrauensverlust dar (OGH 25.10.2001, 8 ObA 218/01v, ZAS 2002/16).Für den
Arbeitgeber könnte es interessant sein, dass der OGH es als zulässig erachtete den
Ausspruch der Entlassung gem § 27 Z 4 AngG fünf Tage hinauszuschieben, um anhand der
Telekommunikationsrechnungen zu kontrollieren, wer unbefugter weise Privatgespräche
geführt hatte (OGH 23.7.2008 8 Ob A 69/06i, ecolex 2007/130).
e) Haftung des Unternehmens
Auch das Unternehmen selbst kann im Einzelfall gegenüber Dritten haftbar sein. Dies
gilt aufgrund Organisationsverschuldens, wenn keine ausreichenden Schutzvorrichtungen
getroffen wurden, die beispielsweise den Missbrauch der IT-Infrastruktur durch Externe
verhindern. Sofern dadurch Dritte geschädigt werden – weil über das IT-System des
Unternehmens Spam oder Viren versendet oder Urheberrechte Dritter verletzt wurden –
ist das Unternehmen Unterlassungs- und Schadensersatzsprüchen des Geschädigten
ausgesetzt.
f) Weitere Konsequenzen
Zudem droht die Reduzierung oder der Verlust von Schadensersatzansprüchen gegenüber
Dritten aufgrund überwiegenden Mitverschuldens, der Verlust von Versicherungsschutz, der
Ausschluss von der öffentlichen Auftragsvergabe oder sogar die Gewerbeuntersagung.
18
II. IT-Security und IT-Compliance im Unternehmen
19
20
III. Gewährleistung der Vertraulichkeit
und Integrität von IT-Systemen
1. „IT-Grundrecht“
Das Bundesverfassungsgericht in Deutschland hat bereits 2008 ein neues Grundrecht auf
Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme geschaffen,
das in der Öffentlichkeit als „IT-Grundrecht“ bezeichnet wird. Es ist dann anzuwenden, wenn ein
Zugriff auf IT-Systeme es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung
einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten.
Eine entsprechende Entwicklung ist in Österreich (noch) nicht zu vermelden. Die Neuformulierung des Grundrechts auf Datenschutz in § 1 DSG durch die DSG-Novelle 2010 sorgte nur für
bessere Verständlichkeit ohne inhaltliche Änderungen. Es bezieht sich allerdings ganz allgemein
auf den Schutz personenbezogener Daten und ist so auch auf Software-Provider anzuwenden.
Es besteht nach der Rechtsprechung des OGH nämlich auch dann, wenn der Betroffene selbst
geschützte Daten an einen begrenzten Personenkreis herausgegeben hat (OGH 3.9.2002, 11 Os 109/
01, SSt 64/48). Eine Rechtsprechung nach dem deutschen Vorbild für das Auditing datenschutzkonformer Datenanwendungen bleibt abzuwarten.
2. Online-Durchsuchung und Quellen-TKÜ („Staatstrojaner“)
Obwohl bereits im Jahre 2008 ein Ministerialbericht zum Thema Online-Durchsuchung in
Österreich vorgelegt wurde, hat eine gesetzliche Regelung noch keinen Eingang in die Strafprozessordnung gefunden. Die technische Durchführung der Online-Durchsuchung ist demnach noch unklar. Das österreichische Justizressort hat erst kürzlich in einer parlamentarischen
Anfrage den Ankauf von als „Staatstrojaner“ bezeichneter Software verneint. Allerdings werde
eine für den Einzelfall angekaufte Software zur optischen Überwachung des Bildschirms bereits
eingesetzt. Dieses Programm zeichnet Bildschirminhalte in regelmäßigen Abständen, sogenannte Screenshots, und Tastaturanschläge (Key-Log-Daten) auf, mit deren Hilfe der Datenverkehr auf einem PC überwacht werden kann. Der Oberste Gerichtshof hat im Anlassfall die Verwertung solcher durch Online-Durchsuchung gewonnenen Beweise (auch ohne ausdrückliche
gesetzliche Regelung) im Verfahren zugelassen (OGH 27.08.2009, 13 Os 39/09y; OGH 27.8.2008,
13 Os 83/08t, JSt 2008, 30). Nicht ausdrücklich geklärt hat das Höchstgericht, ob die Durchführung der Online-Durchsuchung rechtlich zulässig war. Eine andere Form des Staatstrojaners
dient der sog. Quellen-Telekommunikationsüberwachung (TKÜ). Dies ist die Überwachung von
verschlüsselter Voice-over-IP-Kommunikation, wie sie etwa mit dem Programm Skype erfolgt,
durch Aufzeichnung der Daten und Übermittlung an die Ermittlungsbehörden vor der Kryptierung durch Installation eines entsprechenden Programms auf dem Rechner des Beschuldigten.
In Österreich besteht hiezu keine gesetzliche Regelung. In Deutschland dagegen haben Presseberichten zufolge mehrere Ermittlungsbehörden bei einem hessischen Unternehmen die Programmierung von Trojanern in Auftrag gegeben. In Bayern wurde nach Angaben des Bayerischen Landeskriminalamtes Trojanersoftware für 22 Einzelfälle der Überwachung eingekauft
III. Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen
21
und diese Einsätze werden durch den Bayerischen Landesbeauftragten für den Datenschutz
überprüft. Anbieter von Internet-Sicherheitslösungen sind dort allerdings nicht zum aktiven
Mitwirken beim Zugriff auf gespeicherte Daten verpflichtet, so dass sie nicht etwa eine „Backdoor“ für den „Staatstrojaner“ bereitstellen müssen. Es ist aber davon auszugehen, dass technische Selbstschutzmöglichkeiten wie Antiviren-Programme eingesetzt werden dürfen, um einen
Zugriff von außen zu verhindern.
3. Schutz gegen Datenlecks (Data Leak Prevention)
Wie z.T. schon an anderer Stelle in diesem Leitfaden erwähnt, gibt es verschiedene rechtliche
Verpflichtungen für Unternehmen aller Größen, angemessene Maßnahmen zum Schutz gegen
Datenlecks (oder Datensicherheitspannen) zu treffen. Sie sollen sicherstellen, dass elektronisch
gespeicherte Daten nicht verloren gehen oder gestohlen werden können, bzw. nicht zur Kenntnis oder in den Besitz unautorisierter Dritter gelangen. Die entsprechenden rechtlichen Anforderungen finden sich insbesondere in den Bereichen IT-Security, Datenschutz, gewerblicher
Rechtsschutz, Geheimhaltungsvereinbarungen, Buchprüfung und Arbeitsrecht. Ein Mangel an
Compliance auf diesen Gebieten kann zum Verlust von Rechtsschutz für betriebswichtiges
Know-How oder geistiges Eigentum führen und Schadensersatzforderungen, Vertragsstrafen
oder Geldbußen auslösen. Deshalb liegt der Einsatz einer wirksamen Data Leak Prevention
Technologie eindeutig im Unternehmensinteresse. Im einzelnen sei hierzu noch auf folgendes
hingewiesen:
Wenn etwa Sicherheitspannen dazu führen, dass betriebliches Know-How ungewollt an die
Öffentlichkeit gelangt, kann dieses Know-How den Charakter eines "Betriebs- oder Geschäftsgeheimnisses" und damit den wettbewerbsrechtlichen Know-How-Schutz gemäß § 11 des
Gesetzes gegen den unlauteren Wettbewerb (UWG) verlieren, da dieser nur dann greift, wenn
ein Bediensteter Geschäftsgeheimnisse unbefugt anderen mitteilt.
Ein ungewollter Abfluss vertraulicher Informationen im Rahmen einer Sicherheitspanne kann
ferner zu vertraglichen Ansprüchen Dritter führen, mit denen das Unternehmen, bei dem diese
eingetreten ist, eine Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) abgeschlossen hatte. Voraussetzung ist natürlich, dass gerade die von der Sicherheitspanne betroffenen Daten bzw. Informationen von der Vertraulichkeitsvereinbarung umfasst waren. Häufig
werden in Vertraulichkeitsvereinbarungen auch Vertragsstrafen für den Fall einer unautorisierten Preisgabe geschützter Informationen an Dritte vereinbart. Ist die Sicherheitspanne allerdings trotz eines umfassenden IT-Sicherheitssystems eingetreten und kann dem betroffenen
Unternehmen seine fahrlässige Verursachung auch sonst nicht vorgeworfen werden, so sollten
sich vertragliche Ansprüche aus einer Vertraulichkeitsvereinbarung jedenfalls insoweit erfolgreich abwehren lassen, wie sie einen schuldhaften Verstoß gegen die Vertraulichkeitsvereinbarung voraussetzen. Mit Blick auf Vertragsstrafenklauseln ist zu beachten, dass diese häufig
die Beweislastumkehr zulasten des Verpflichteten vorsehen, sodass von einer Sicherheitspanne
betroffene Unternehmen ggf. beweisen müssen, dass sie diese nicht fahrlässig verursacht
22
III. Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen
haben. Gerade dann zeigt sich aber, welchen Wert umfassende Maßnahmen zur IT- und Datensicherheit – und der Nachweis darüber – haben. Eine Sicherheitslücke in einem in Österreich
befindlichen IT-System löst unter Umständen zusätzliche Benachrichtigungspflichten nach
US-amerikanischem Recht aus. Es kommt vor, dass in Europa ansässige Unternehmen, bei
denen eine Sicherheitspanne eintritt, von Betroffenen (oder deren Anwälten) in den USA
benachrichtigt und – unter Vorbehalt der Geltendmachung aller Rechte einschließlich Schadensersatz und Mitteilung an die zuständigen Behörden – zur Einhaltung der anwendbaren "security
breach notification laws" angehalten werden.
4. Spionageaufklärung und -abwehr von innen („Deep Discovery“)
Zur sorgfältigen Gestaltung der IT-Sicherheitsstruktur eines Unternehmens gehört es auch,
dass Verfahren oder Produkte eingesetzt werden, die den Abfluss von wertvollen Daten als
Folge von gezielten Angriffen auf IT-Ressourcen des Unternehmens verhindern. Dazu müssen
aber die sicherheitsrelevanten Ereignisse nicht nur gesammelt und einzeln ausgewertet, sondern
für die Analyse miteinander korreliert und in Echtzeit überwacht werden („Deep Discovery“).
Denn das Wesen gezielter Angriffe besteht unter anderem in ihrem komplexen, mehrstufigen
Aufbau, so dass erst die Summe der Einzelereignisse Hinweise auf Gefahren gibt.
5. Verpflichtung zur Verschlüsselung von E-Mails
Es bestehen zahlreiche Fallgestaltungen, bei denen eine E-Mail-Verschlüsselung zur Wahrung
der Vertraulichkeit rechtlich geboten ist oder empfohlen wird, wie etwa bei der öffentlichen
Auftragsvergabe oder bei der elektronischen Übermittlung von Sozialdaten. Dies gilt insbesondere für den Schutz von Betriebs- und Geschäftsgeheimnissen, personenbezogenen Daten,
Sozialdaten sowie des Bankgeheimnisses und des Kommunikationsgeheimnisses. Unternehmen
und insbesondere Kreditinstitute und Finanzdienstleistungsinstitute haben zudem angemessene
technische IT-Sicherheitsmaßnahmen zu etablieren, zu denen auch E-Mail-Verschlüsselungstechnologien zählen. Schließlich gibt es im E-Mail-Verkehr mit und von Behörden Fallgestaltungen, bei denen E-Mails verschlüsselt werden müssen. Der Einsatz von E-Mail-Verschlüsselungstechnologien ist somit für Unternehmen, Behörden und Selbstständige in vielen Bereichen
rechtlich zwingend geboten.
Verschlüsselungstechnologien sind auch ein Kernelement des am 3. Mai 2011 in Deutschland in
Kraft getretenen De-Mail Gesetzes, welches die Sicherheit im elektronischen Rechts- und
Geschäftsverkehr zum Ziel hat. In Österreich hat die Wirtschaftskammer in Zusammenarbeit
mit AustriaPro bereits einen elektronischen Zustelldienst entwickelt. Während bisher die nachweisliche elektronische Zustellung nur für behördliche Dokumente möglich war, können mit
diesem E-Zustellsystem nun auch private vertrauliche und sensible Dokumente nachweislich
sicher zugestellt werden. Der Dienst funktioniert wie ein persönlich authentifiziertes PostSchließfach zur Online-Behebung von elektronischen Dokumenten und kann von Unternehmen
und Privatpersonen genutzt werden. Die Benutzeroberfläche ist ähnlich einem Webmail-Portal
gestaltet, der Zugang ist aber nur dem authentifizierten Berechtigten möglich.
III. Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen
23
24
IV. Neue Technologien,
neue rechtliche Anforderungen
Die technische Entwicklung im Bereich der IT und der Internet-Nutzung schreitet immer
schneller voran. Die nahezu ständige Verfügbarkeit einer Internet-Anbindung – etwa über
WLAN oder UMTS – bei immer höheren Datenübertragungsraten ermöglicht Unternehmen
den Einsatz neuer internetgestützter Technologien wie Cloud Computing und Social Media.
Neu ist auch der Trend der „Consumerization“.
1. Cloud Computing
Unter „Cloud Computing“ wird ein Netzwerk verstanden, das IT-Infrastrukturen dynamisch an
den Bedarf des Nutzers anpasst und diesen über das Internet zur Verfügung stellt. Die IT-Infrastruktur eines Unternehmens wird in die „Wolke“ Internet verlagert. Hard- und Software werden
hierbei voneinander entkoppelt. Durch den Einsatz von Cloud Computing-Lösungen können Unternehmen Kosten für eigene lokale Infrastruktur einsparen und die Auslastung von Ressourcen
besser steuern. Für die rechtliche Beurteilung ist die Unterscheidung zwischen der Private Cloud,
die unter der Kontrolle des Unternehmens steht und bei der die Daten die unternehmensspezifische Wolke nicht verlassen, und der Public Cloud, bei der Daten und Dienste auf die IT-Infrastruktur externer Dienstleister ausgelagert werden, von Bedeutung. Während bei einer Private Cloud
das Unternehmen weiterhin die Kontrolle behält und diesbezüglich die in Kapitel II dargestellten
Anforderungen an die IT-Security und IT-Compliance einhalten muss, sind Public Clouds hinsichtlich drei rechtlichen Aspekten kritisch zu prüfen, bevor ein Unternehmen diese Technologie einsetzt:
a) Vertragsbeziehungen
Dem Unternehmen muss klar sein, von welchem Cloud Provider zu welchen vertraglichen
Konditionen die Cloud-Services erbracht werden. Neben der Person und dem Sitz des Cloud
Providers sind etwa das anwendbare Recht, Regelungen zur Gewährleistung und Haftung,
Service Levels und die Einschaltung von Unterauftragnehmern kritisch zu prüfen. Wichtig ist
auch, dass bei Vertragsbeendigung eine Rückmigration des Datenbestandes möglich ist.
b) Urheberrechtliche Nutzungsrechte
Sofern das Unternehmen nicht nur Daten in die Cloud auslagert, sondern im Wege des
„Software as a Service“ (SaaS) auch Dienste, muss es durch entsprechende Lizenzklauseln
sicherstellen, dass es die urheberrechtlichen Nutzungsrechte in dem Umfang erwirbt, wie es
die Dienste nutzen möchte. Zudem sollte es sich vom Cloud Provider von Ansprüchen Dritter
in Bezug auf die in der Cloud genutzte Software freistellen lassen.
c) Datenschutz und Sicherheit
Sofern sowohl das Unternehmen als auch der Cloud Provider innerhalb der Europäischen
Union niedergelassen sind und personenbezogene Daten die EU nicht verlassen, besteht ein
IV. Neue Technologien, neue rechtliche Anforderungen
25
einheitliches angemessenes europäisches Datenschutzniveau. Die Übermittlung personenbezogener Daten an einen Cloud Provider wird dann datenschutzrechtlich als zulässig einzustufen sein, wenn es sich um einen zuverlässigen Cloud Provider handelt, der sich an die EU-Datenschutzvorgaben hält und ausreichende technische und organisatorische Maßnahmen zum
Schutz der Daten getroffen hat. Während es in Deutschland ein offizielles Anforderungsprofil an
die datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing gibt (abrufbar unter
http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaen
der/82DSK_CloudComputing.html?nn=408908), existiert ein solches in Österreich nicht.
Es ist aber jedenfalls auf die Einhaltung des Datenschutzrechts zu achten. Die österreichische
Wirtschaftskammer hat in ihrem IT-Sicherheitshandbuch 2011 Hinweise für sicheres Cloud
Computing herausgegeben (gratis abrufbar unter http://www.it-safe.at/DE/Handbuch/
Sicherheitshandbuch/Online-Handbuch.aspx). Darin wird darauf hingewiesen, dass es fraglich
ist, ob aus Österreich sensible Daten in EU-Drittländer überhaupt ausgelagert werden dürfen.
Sofern der Cloud Provider außerhalb der EU ansässig ist, muss die datenschutzrechtliche
Zulässigkeit des Cloud Computing etwa durch den Einsatz sog. EU-Standardvertragsklauseln
sichergestellt werden. Von besonderer Bedeutung ist, dass der Cloud Provider die Unternehmensdaten nicht beliebig in das Internet auslagern darf, sondern nur an explizit genannte Unterauftragsverarbeiter, die ihrerseits ebenfalls die Pflichten nach den Standardvertragsklauseln akzeptieren müssen.
Im Falle eines Cloud Providers mit Sitz in den USA ist dieser möglicherweise nach den Safe HarborRegelungen zertifiziert, so dass hiernach eine Datenübermittlung an ihn zulässig sein kann.
2) Social Media in Unternehmen
Unternehmen, die Social Media wie Facebook und Twitter nutzen sowie ihren Mitarbeitern
eine Nutzung während der Arbeitszeit gestatten, müssen zahlreiche rechtliche
Anforderungen beachten. Die wichtigsten sind:
a) Impressumspflicht
In Österreich tritt mit 1.7.2012 eine Novelle des § 25 Mediengesetzes in Kraft, die verschärfte
Offenlegungspflichten und einen erhöhten Strafrahmen mit sich bringt. § 25 MedienG
umfasst auch "periodische elektronische Medien", worunter auch Unternehmensseiten in
Social Media fallen können, die einem größeren Personenkreis zugänglich sind.
In Deutschland besteht für Unternehmensseiten in Social Media Impressumspflicht nach
§ 5 Telemediengesetz (TMG).
b) Gewerblicher Rechtsschutz und Wettbewerbsrecht
Die Nutzung fremder Marken oder Urheberrechte auf Social Media-Seiten ohne eine Lizenz
hierfür verletzt die gewerblichen Schutzrechte Dritter, bzw stellt unter Umständen unlauteren Wettbewerb dar. So stellt es wohl ein rechtswidriges „Account Grabbing“ dar, wenn ein
Unternehmen unter dem Firmennamen eines Wettbewerbers einen Twitter-Account einrich-
26
IV. Neue Technologien, neue rechtliche Anforderungen
tet. Vorsicht ist auch bei Meinungsforen geboten, damit hier keine Haftung für fremde Inhalte,
die beispielsweise beleidigend sind, übernommen werden muss. Aus wettbewerbsrechtlicher
Sicht ist es unzulässig, wenn ein Unternehmen sich auf einem Bewertungsportal selbst lobt,
dies jedoch durch ein Pseudonym verschleiert, denn dieses Vorgehen wird ähnlich zu bewerten sein, wie der bereits ausjudizierte Fall der "Tarnung von Werbung als Privatpost". Ein
Unternehmen, das zum Beispiel auf Facebook ein Preisausschreiben veranstaltet, muss hierfür
nicht nur die Anforderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) beachten, sondern auch die entsprechenden Richtlinien des Betreibers der Social Media-Plattform.
c) Datenschutz
Der Einsatz von Cookies, „Like-Buttons“ und Optimierungsdiensten wie Geo Targeting ist
datenschutzrechtlich kritisch zu sehen, wenn hierbei IP-Adressen der Nutzer erhoben oder
verarbeitet werden. Abhängig von Art und Umfang der Nutzung ist entweder die – ggf. elektronische – Einwilligung des Nutzers erforderlich oder er ist zumindest über die Nutzung im
Rahmen der Datenschutzhinweise zu unterrichten.
d) Social Media Guidelines
Es ist Unternehmen zu empfehlen, in sog. „Socia Media Guidelines“ Handlungsanweisungen
für Mitarbeiter für den rechtskonformen und sicheren Umgang mit Social Media-Portalen zu
geben. Hierzu zählt zum Beispiel, wer im Namen des Unternehmens Accounts anlegen und
Inhalte einstellen darf, in welchem Umfang die private Nutzung von sozialen Netzwerken
während der Arbeitszeit gestattet ist, wie mit Angaben über das Unternehmen in privaten
Accounts umzugehen ist, welche Inhalte zulässig sind und keine Betriebsgeheimnisse verletzen, sowie Aufklärung über die „Netiquette“ in sozialen Netzwerken. Der Betriebsrat kann zu
einzelnen Regelungen ein Mitbestimmungsrecht haben.
3) Consumerization
Mitarbeiter verwenden private Smartphones, um dienstliche E-Mails zu bearbeiten. Die VPNVerbindung zum Firmenrechner im Urlaub erfolgt über den privaten Internet-Anschluss im
Ferienhaus. Auf Tablets werden Browserspiele gespielt und zugleich Firmendaten abgerufen.
Im privaten XING-Account werden Firmenkontakte offengelegt und gepflegt. Dies alles sind
Beispiele eines neuen Trends, der „Consumerization“, bei dem Mitarbeiter private Endgeräte
dazu verwenden, berufliche Tätigkeiten auszuüben. Die Grenze zwischen privater und beruflicher IT-Infrastruktur verschwimmt. Die wesentlichen rechtlichen Risiken liegen hierbei allerdings nicht nur in den Bereichen IT-Security, Datenschutz und Archivierungspflichten. So darf
zB nicht übersehen werden, dass es schwierig sein kann, sicherzustellen, dass ein ehemaliger
Angestellter unternehmerische Daten, die er auf seinem privaten Endgerät gespeichert hat
auch wieder löscht. Sogar seine Einordnung als Dienstnehmer kann unter Umständen fraglich
werden, wenn er mit privaten Betriebsmitteln arbeitet. Die österreichische Wirtschaftskammer
hat in ihrem IT-Sicherheitshandbuch 2011 Vorschläge für die Nutzung von mobilen Endgeräten
IV. Neue Technologien, neue rechtliche Anforderungen
27
herausgegeben (gratis abrufbar unter http://www.it-safe.at/DE/Handbuch/Sicherheitshandbuch/
Online-Handbuch.aspx). Besonderes Augenmerk ist auf die Verwendung von Passwörtern und
Virenschutzprogrammen sowie die Installation von Software und Apps zu legen.
a) IT-Security
Um den Anforderungen an die IT-Security auch im Bereich der Consumerization gerecht zu
werden, sollten Unternehmen eine Sicherheitsstrategie entwickeln und IT Security-Richtlinien
aufstellen. Hierin können etwa geregelt werden,
• welche Endgeräte privat genutzt werden dürfen
• welche Sicherheitssoftware einzusetzen ist
• wie Endgeräte gegen unberechtigten Zugriff geschützt werden,
etwa im Falle eines Verlusts oder Diebstahls
• wie Zugriffe auf das Firmennetzwerk und Datenverbindungen geschützt werden
• wie sichergestellt wird, dass private Applikationen kein Sicherheitsrisiko darstellen.
b) Datenschutz
Wie in Kapitel V näher dargestellt, empfiehlt sich auch im Bereich der Consumerization, den
Umfang der Privatnutzung, die Einhaltung von Sicherheitsanforderungen durch Mitarbeiter
und die Kontrollrechte des Arbeitgebers mit den Mitarbeitern zu regeln. Ein wichtiger Aspekt
ist hierbei die Trennung von privaten und beruflichen Daten auf dem Endgerät, damit der Arbeitgeber auf letztere Zugriff nehmen kann, ohne die Privatsphäre des Mitarbeiters in Bezug
auf erstere zu verletzen. Eine solche Regelung kann durch einen Zusatz zum Arbeitsvertrag,
durch eine Betriebsvereinbarung mit dem Betriebsrat oder auch durch eine IT-Anwenderrichtlinie bzw. IT Use Policy der Unternehmensleitung erfolgen, wobei jeweils von Fall zu Fall geprüft werden muss, welche dieser Maßnahmen die sinnvollste und erfolgversprechendste ist
und wie sie rechtswirksam umgesetzt werden kann.
c) Archivierungspflichten
Nach dem Unternehmensgesetzbuch besteht für Unternehmen eine Aufbewahrungspflicht
für empfangene und abgesandte Geschäftsbriefe. Unter einem Geschäftsbrief ist jedes Schreiben zu verstehen, welches der Vorbereitung, dem Abschluss, der Durchführung oder auch der
Rückgängigmachung eines Geschäfts dient. Hierunter fallen auch entsprechende E-Mails. Die
Aufbewahrungsfristen sind in der Regel sieben Jahre, die steuerliche Aufbewahrungspflicht
beläuft sich allerdings in der Regel auf zehn Jahre. Es muss sichergestellt werden, dass auch
über private Endgeräte versendete „Geschäftsbbriefe“, also etwa E-Mails mit einem entsprechenden Inhalt, aufbewahrt werden. Während Firmen-E-Mails noch unproblematisch synchronisiert werden können, erscheint eine Aufbewahrung von SMS oder einer Korrespondenz in
sozialen Netzwerken, die durchaus ebenfalls etwa der Vorbereitung eines Geschäfts dienen
können, schon problematischer. Hier sind der Einsatz angemessener Sicherheits- und Verwaltungstools sowie die Aufnahme von Vorgaben in die IT-Anwenderrichtlinie zu prüfen.
28
IV. Neue Technologien, neue rechtliche Anforderungen
29
30
V. E-Mail- und Internet-Nutzung
durch Mitarbeiter
Die Nutzung von E-Mail und Internetzugang durch die Mitarbeiter eines Unternehmens für
dessen eigene Zwecke wirft keine besonderen Rechtsprobleme auf. Anders sieht es jedoch
aus, wenn es um die Nutzung dieser Arbeitsmittel für private Zwecke der Mitarbeiter geht.
Hier besteht ein großes Spannungsfeld, das durch Rechtsunsicherheit gekennzeichnet ist.
Im IT-Sicherheitshandbuch der österreichischen Wirtschaftskammer wird unter anderem auf
das große Bedürfnis nach Rechtssicherheit im Zusammenhang mit der Nutzung von Telefon,
E-Mail und Internet am Arbeitsplatz hingewiesen und es werden verschiedene Arten von personellen Maßnahmen vorgeschlagen um diesem Problem unternehmensintern wirksam entgegenzuwirken.
1. Betriebliche Nutzung
Für die betriebliche Nutzung des ihnen jeweils zugeteilten E-Mail-Accounts und des Internetzugangs durch die Mitarbeiter eines Unternehmens gelten lediglich die Vorgaben des Datenschutzgesetzes (DSG). Bei den Kontrollbefugnisse des Arbeitsgebers sind insbesondere die
Persönlichkeitsrechte der Arbeitnehmer zu beachten, wie z.B. Recht auf Privatsphäre
(§§ 16, 1328a ABGB), Grundrecht auf Achtung des Privat- und Familienlebens (Art 8 EMRK),
Grundrecht auf Wahrung des Briefgeheimnisses und des Bildnisschutzes (§§ 77, 78 UrhG),
Grundrecht auf Datenschutz (§1 DSG) und Schutz personenbezogener Daten.
Der Arbeitgeber ist zur Kontrolle der Nutzung befugt, wenn er die private Nutzung von E-Mails
generell ausgeschlossen hat. In diesem Fall darf der Arbeitgeber darauf vertrauen, dass E-Mails
nur dienstlich verwendet werden. Das gilt auch, wenn ein Arbeitnehmer Internet oder E-MailAccount unerlaubt privat nutzt. (Zu etwaigen Missbrauchsfällen siehe Kapitel VI. Ziffer 2.)
Wenn der Arbeitgeber allerdings kein Nutzungsverbot ausspricht, ist die gelegentliche
Nutzung von privaten E-Mail-Accounts erlaubt, sofern sie nicht zu einer Vernachlässigung
der Dienstpflichten, oder einer Störung des Arbeitsablaufs führen.
2. Private Nutzung
Wird die private Nutzung erlaubt, ist für die datenschutzrechtlichen Beurteilung des
Versendens von E-Mails vor allem das DSG zu beachten.
Während nach deutscher Rechtsprechung ein Arbeitgeber als Dienstanbieter im Sinne des
Telekommunikationsgesetzes (TKG) angesehen werden kann, ist dies nach österreichischer
V. E-Mail- und Internet-Nutzung durch Mitarbeiter
31
Rechtsprechung nicht der Fall. Der Arbeitgeber, der mittels EDV-gesteuerter Telefonanlage
die Daten der von seinen Arbeitnehmern geführten Gespräche aufzeichnet, verstößt daher
nicht gegen die Geheimhaltungsvorschriften des TKG (vgl OGH 13. 6. 2002, 8 ObA 288/01p).
Eine Kontrolle durch Protokollierung der aufgerufenen Websites in Log-Files ist aber im
Sinne des ArbVG von der Zustimmung des Betriebsrates (§ 96 Abs 1 Z 3 ArbVG) bzw des
einzelnen Arbeitnehmers abhängig.
Die Kontrolle von Inhaltsdaten ist bei erlaubter privater Nutzung ohne Einwilligung des
Arbeitnehmers (zusätzlich zu einer Betriebsvereinbarung gem § 96 Abs 1 Z 3 ArbVG)
ebenfalls nicht zulässig. Wenn aber eine Vereinbarung über die eingeschränkte Zulässigkeit
der Privatnutzung von E-Mails vorliegt, ist zur Überwachung eine umfassende
Protokollierung des E-Mail-Verkehrs auf dem Mailserver notwendig. Datenschutzrechtlich ist
die Protokollierung nach § 9 DSG zu beurteilen. Eine Datenverwendung ist nur erlaubt, wenn
der Arbeitnehmer seine Zustimmung ausdrücklich erteilt hat (§ 9 Z. 6 DSG).
Besteht aber keine Vereinbarung hinsichtlich der Privatnutzung von E-Mails, so wird angenommen, dass diese im „ortsüblichen“ Ausmaß zulässig ist und zwar abhängig von den
konkreten Umständen des Einzelfalls während oder außerhalb der Arbeitszeit. Eine umfassende Protokollierung ist auch hier nötig.
Es ist also empfehlenswert, mit jedem einzelnen Mitarbeiter (unter dem Gesichtspunkt der
Gleichbehandlung) eine einheitlich gestaltete Vereinbarung zu treffen. (Wer sie nicht akzeptiert, hat dann auch keine private Nutzungsmöglichkeit.) Diese Vereinbarung sollte mindestens das Folgende regeln:
• Zielsetzung
• Umfang der E-Mail- und Internetnutzung
• Einwilligung in Protokollierung und Kontrolle
• Vertretungsregelung bei Ausscheiden oder längerer Krankheit des Mitarbeiters
• Leistungs- und Verhaltenskontrolle
• Datenschutz für E-Mail- und Internetnutzung
• Sanktionen
• Verhaltensgrundsätze (v.a. Beachtung der gesetzlichen Vorschriften)
32
V. E-Mail- und Internet-Nutzung durch Mitarbeiter
Wo allerdings die (gelegentliche) private Nutzung ohne eine solche vorherige Vereinbarung
nur stillschweigend oder ausdrücklich (etwa durch einen Hinweis in Organisationsrichtlinien
des Arbeitgebers) geduldet wird, kann daraus eine sog. “betriebliche Übung“ erwachsen.
Sie kann nur schwer – nämlich durch Änderungskündigungen – auf die Grundlage von
Individualvereinbarungen umgestellt werden, in denen die bei erlaubter privater Nutzung
unbedingt benötigten Regelungen getroffen werden.
Auch ein nachträgliches völliges Verbot der privaten Nutzung von betrieblichen E-MailAccounts ließe sich daher bei einer einmal entstandenen betrieblichen Übung kaum durchsetzen. Wenn jedoch ein solches Verbot wirksam geworden ist – aber auch wenn das Verbot
schon bei erstmaliger Einführung von E-Mail im Unternehmen ausgesprochen worden ist –,
muss seine Einhaltung durch Kontrollmaßnahmen bis hin zur Abmahnung und zu weiteren
Konsequenzen durchgesetzt werden, um dem Entstehen einer (neuen) betrieblichen Übung
vorzubeugen. (Dies ist dann wiederum ein Thema für den Betriebsrat.)
Das Verbot der privaten Nutzung von betrieblichen E-Mail-Accounts kann den Arbeitgeber
von rechtlichen Risiken des Einsatzes von Spamfiltern befreien (siehe dazu das nachfolgende
Kapitel V.). Als Alternative für seine Mitarbeiter kann er ihnen den Internetzugang für die
Nutzung ihrer privaten E-Mail-Accounts gestatten, sofern er es nicht auf sich nehmen will,
ihnen ein zweites E-Mail-Account für die private Nutzung auf dem betrieblichen Server zu
eröffnen. Das kann jedoch Probleme Im Rahmen von Archivierungspflichten mit sich bringen.
V. E-Mail- und Internet-Nutzung durch Mitarbeiter
33
34
VI. Einsatz von Antiviren-Progammen
und Spam-Filtern im Unternehmen
In Kapitel II. wurde der notwendige Einsatz von Virenschutzprogrammen betont, der die
IT-Security in Unternehmen sicherstellen kann. Eine gesetzliche Verpflichtung zum Schutz
gegen Viren gibt es nicht, jedoch haften Unternehmen für Schäden, die sie durch Fahrlässigkeit verursachen. Ein Versenden von Viren wegen fehlendem Virenschutz muss nach
dem heutigen Stand der Technik als fahrlässig betrachtet werden.
Aus rechtlichen Gründen sind besondere Voraussetzungen zu beachten:
1. Strafbarkeit des Ausfilterns von E-Mails
§ 119 StGB stellt eine Verletzung des Telekommunikationsgeheimnisses unter Strafe. Dieser
Straftatbestand erfasst das Benützen einer Vorrichtung, die an einer Telekommunikationsanlage oder an einem Computersystem angebracht oder sonst empfangsbereit gemacht
wurde, in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer
Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen.
Unter diesen Tatbestand fällt das unbefugte Lesen von E-Mails, sowie deren Unterdrückung,
etwa in Form der absichtlichen Nichtweiterleitung an einen Empfänger. Nicht nur das Lesen,
sondern auch bereits unbefugtes Öffnen von E-Mails wird durch diesen Straftatbestand sanktioniert. Die Benützung eines Sniffers erfüllt auch den objektiven Tatbestand des § 119 StGB.
2. Zulässigkeit des Ausfilterns von E-Mails
Nach TKG müssen Dienstanbieter angemessene technische Vorkehrungen oder sonstige
Maßnahmen zum Schutze der Telekommunikations- und Datenverarbeitungssysteme gegen
unerlaubte Zugriffe treffen. Wie in Kapitel II. dargestellt, bestehen umfassende gesetzliche
Anforderungen an die IT-Compliance. Trotz dieses Verbots wird zumindest dann ein Ausfiltern von E-Mails zulässig sein, wenn eine E-Mail mit Viren behaftet ist. Diese könnte
Störungen oder Schäden an den Telekommunikations- oder Datenverarbeitungssystemen
des Unternehmens auslösen.
Problematisch bleibt nach gegenwärtiger Rechtslage der Fall, dass ein Unternehmen SpamE-Mails, also unverlangt zugesendete Werbe-E-Mails, löscht. Die vorsätzliche Unterdrückung
bzw. Nichtweiterleitung von E-Mails kann gemäß § 119 StGB strafbar sein. Ob allerdings auch
ein Spam-Filter bereits als ein solches Computerprogramm oder eine Vorrichtung anzusehen ist, ist fraglich, wird allerdings in der Literatur teilweise bejaht. Der Gesetzgeber hat in
VI. Einsatz von Antiviren-Progammen und Spam-Filtern im Unternehmen
35
den Materialien zu § 119 StGB zum Ausdruck gebracht, dass der Täter ein Unbefugter sein
muss, und daher z.B. Systemadministratoren, die befugterweise E-Mails analysieren, von der
Strafbarkeit ausgenommen sind. Wesentlich ist, dass der Sender und der Empfänger jeweils
für sich befugt sind, vom Inhalt der Nachricht Kenntnis zu nehmen. Im Fall also eines außenstehenden, nicht an der Kommunikation beteiligten Internetproviders, der Filtersoftware einsetzt, muss dagegen davon ausgegangen werden, dass grundsätzlich sowohl die Einwilligung
des Senders als auch die des Empfängers für das Ausfiltern von E-Mails erforderlich ist. Die
Einholung der Einwilligung des Absenders zur Benutzung von Filtersoftware ist in der Praxis
kaum möglich. Im Ergebnis ist die Verwendung von Filtersoftware durch einen
Internetprovider jedoch ohne solche Einwilligung straffrei.
Um gegebenenfalls einer drohenden Strafbarkeit beim Einsatz von Spam-Filtern vorzubeugen, bieten sich folgende Lösungsmöglichkeiten an:
• Dem Arbeitnehmer wird die private Nutzung seines dienstlichen
E-Mail-Accounts untersagt (vgl. hierzu näher Kapital V. Ziffer 2).
• Der Arbeitnehmer stimmt dem Einsatz von Spam-Filtern zu.
• Die Spam-E-Mails werden in einen Quarantäne-Ordner verschoben, der
betroffene Arbeitnehmer wird darüber informiert. Er hat so die Möglichkeit,
die Spam-E-Mails entweder einzusehen oder sie ungesehen zu löschen.
Nachdem für den Einsatz von Spam-Filtern bisher soweit ersichtlich keine gerichtliche
Entscheidung vorliegt und in der juristischen Literatur durchaus unterschiedliche
Auffassungen bestehen, sollte die Rechtsentwicklung beobachtet und die Rechtmäßigkeit
des Einsatzes von Spam-Filtern in Unternehmen regelmäßig überprüft werden.
36
VI. Einsatz von Antiviren-Progammen und Spam-Filtern im Unternehmen
37
38
VII. Missbrauch von IT-Infrastruktur
und Datendiebstahl
Erfolgt ein Missbrauch von IT-Infrastruktur oder ein Datendiebstahl vorsätzlich, können
strafrechtliche Konsequenzen eintreten. (Zur zivilrechtlichen und öffentlich-rechtlichen
Verantwortlichkeit bei Verstößen gegen Compliance-Anforderungen an die IT-Security
siehe Kapitel II. Ziffer 4.)
1. Abfangen von Daten
§ 119a StGB stellt das missbräuchliche Abfangen von Daten unter Strafe. Geschützt werden
nur solche Daten, die im Wege eines Computersystems übermittelt werden. Erfasst werden
auch nur solche Daten, die nicht für den Täter selbst bestimmt sind. Diese müssen gegen
unberechtigten Zugang besonders gesichert sein. Das können z.B. softwaretechnische
Schutzmaßnahmen wie Passwörter, Verschlüsselungen, oder Zugangssicherungen der
Hardware, wie der mechanische Kopierschutz oder biometrische Verfahren sein. Eine alleinige Warnung, die Daten dürften nicht eingesehen werden, ist nicht ausreichend. Hier handelt
es sich um ein Privatanklagedelikt.
2. Verletzung des Kommunikationsgeheimnisses
Gemäß § 93 TKG unterliegt der Inhalt der Telekommunikation und ihre näheren Umstände
dem Kommunikationsgeheimnis, wozu insbesondere auch die Tatsache zählt, ob jemand an
einem bestimmten Telekommunikationsvorgang beteiligt ist oder war.
Das Kommunikationsgeheimnis erstreckt sich zudem auf die näheren Umstände erfolgloser
Verbindungsversuche. Nach § 119 StGB ist eine unbefugte Mitteilung über den Inhalt privater
E-Mail-Korrespondenz an andere oder die Unterdrückung der Weiterleitung privater E-Mails
strafbar. Sofern die private E-Mail-Nutzung untersagt ist, kann der Arbeitgeber grundsätzlich
davon ausgehen, dass sämtliche E-Mail-Korrespondenz dienstlich veranlasst ist und somit
deren Vorlage verlangen. Ein direkter Zugriff des Vorgesetzten auf das Postfach des Mitarbeiters wird in der Regel unzulässig sein, weil der Mitarbeiter auch dienstlich veranlasste
E-Mails erhalten kann, deren Inhalt dem Vorgesetzten nicht zur Kenntnis gelangen soll, z.B.
Korrespondenz mit der Personalabteilung, dem Betriebsrat oder dem Betriebsarzt.
3. Datenbeschädigung
§ 126a StGB stellt die rechtswidrige Veränderung, Löschung, Unterdrückung oder Unbrauch-
VII. Missbrauch von IT-Infrastruktur und Datendiebstahl
39
barmachung von Daten unter Strafe. Darunter fallen automationsunterstützt verarbeitete,
übermittelte oder überlassene Daten, über die der Täter nicht oder nicht allein verfügen
darf. Erfasst wird auch das „logische“ Verstecken von Daten, das zu einer Einschränkung der
Verwendbarkeit führt. Dies kann beispielsweise durch die unbefugte Umbenennung von
Dateien oder die Einfügung von Zugriffsbeschränkungen erfolgen. Die Installation eines
Backdoorprogramms erfüllt auch den Tatbestand des § 126a StGB. Liegt aber eine schwere
Störung der Funktionsfähigkeit des Computerprogramms durch die Installation vor, ist der
objektive Tatbestand des § 126b StGB einschlägig.
4. Störung der Funktionsfähigkeit eines Computersystems
§ 126b StGB sanktioniert die Störung der Funktionsfähigkeit eines Computersystems.
Darunter fallen Computersysteme, über die der Täter nicht oder nicht alleine verfügen darf.
Die schwere Störung wird vor allem durch Dateneingabe bzw. Datenübermittlung verursacht.
Viren-Attacken können als Störung der Funktionsfähigkeit eines Computersystems strafbar
sein. Damit sollen auch Denial of Service (DoS)-Angriffe erfasst werden. In der Neufassung
der Vorschrift seit 01.01.2008 wird für den Fall einer längere Zeit andauernden
Funktionsstörung eine Freiheitsstrafe von bis zu zwei Jahren angedroht.
So hat zum Beispiel das Landgericht Düsseldorf in einem Urteil vom 22. März 2011
(Az. 3 KLs 1/11) entschieden, dass sog. DDoS-Attacken (Distributed Denial of Service-Attacken)
in Deutschland den Tatbestand des § 303b StGB erfüllen. Bei einer DDoS-Attacke erfolgt der
Angriff koordiniert von einer größeren Anzahl anderer Systeme aus und nicht – wie bei der
DoS-Attacke – von einem einzelnen System. Diese Entscheidung zeigt, dass durch das geltende
Strafrecht auch derartige neue Begehungsweisen erfasst sind. In Österreich gibt es bis jetzt
keine entsprechende Rechtsprechung.
5. Vorbereitung des Ausspähens und Abfangens von Daten
Gemäß § 126c StGB sind Herstellung, Beschaffung und Besitz von Crackprogrammen,
Zugangscodes und Passwörtern strafbar, wenn dies zum Zwecke des Verschaffens eines
illegalen Zuganges erfolgt. Sanktioniert wird damit das Herstellen, Einführen, Verbreiten,
Veräußern, sonst Zugänglichmachen, Sichverschaffen oder Besitzen von „Hacker-Tools“.
Demnach stellt § 126c StGB die Vorbereitungshandlungen ua für die Straftatbestände des
§§119, 126a StGB unter Strafe.
§ 118a StGB stellt den widerrechtlichen Zugriff auf ein Computersystem unter Strafe. Der
nicht über das System verfügungsberechtigte Täter muss zunächst spezifische Sicherheitsvorkehrungen (Passwort beim System oder bei einzelner Datei, Firewall) überwinden und
dies muss in der Absicht erfolgen, Daten sich oder einem Dritten Unbefugten zur Kenntnis
40
VII. Missbrauch von IT-Infrastruktur und Datendiebstahl
zu bringen bzw sie zu veröffentlichen oder sich einen Vermögensvorteil zu verschaffen oder
einem anderen einen Nachteil zuzufügen. Der Täter muss auch tatsächlich in das System
eindringen und innerhalb des Systems tätig werden können. Unter Computersystem versteht
man sowohl Netzwerke als auch einzelne PC's oder Notebooks. Auch das Hacking, bei dem
der Hacker für ihn nicht bestimmte Daten lediglich zur Kenntnis nimmt, ohne diese zu verändern, fällt unter § 118a StGB, wenn er den erweiterten Vorsatz erfüllt, denn es ist bereits
strafbar, sich oder einem anderen Zugang zu Daten zu verschaffen, die nicht für ihn
bestimmt und die gegen unberechtigten Zugang besonders gesichert sind. Damit wird das
„Hacking“ unter Strafe gestellt, selbst wenn der Täter sich dadurch keine Daten verschafft.
Zu diesen Attacken zählen unter anderem der Einsatz von Backdoor-Trojanern, ActiveXControl und Phishing.
6. Fälschung beweiserheblicher Daten
§ 225a StGB stellt die Fälschung beweiserheblicher Daten unter Strafe. Demnach ist es verboten, durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten
herzustellen oder echte Daten zu verfälschen um sie im Rechtsverkehr zum Beweis eines
Rechtes, eines Rechtsverhältnisses oder einer Tatsache zu gebrauchen.
7. Widerrechtlicher Zugriff auf ein Computersystem
§ 118a StGB stellt den widerrechtlichen Zugriff auf ein Computersystem unter Strafe. Der
nicht über das System verfügungsberechtigte Täter muss zunächst eine Sperre (Passwort
beim System oder bei einzelner Datei, Firewall) überwinden und dies muss in der Absicht
erfolgen, Daten einem Dritten zugänglich zu machen oder sich einen Vermögensvorteil zu
verschaffen oder einem anderen einen solchen Nachteil zuzufügen. Der Täter muss auch
tatsächlich in das System eindringen und innerhalb des Systems tätig werden können. Unter
Computersystem versteht man sowohl Netzwerke als auch einzelne PC's oder Notebooks.
Auch das Hacking, bei dem der Hacker für ihn nicht bestimmte Daten lediglich zur Kenntnis
nimmt, ohne diese zu verändern, fällt unter § 118a StGB; denn es ist bereits strafbar, sich
oder einem anderen Zugang zu Daten zu verschaffen, die nicht für ihn bestimmt und die
gegen unberechtigten Zugang besonders gesichert sind. Damit wird das „Hacking“ unter
Strafe gestellt, selbst wenn der Täter sich dadurch keine Daten verschafft. Zu diesen Attacken
zählen unter anderem der Einsatz von Backdoor-Trojanern, ActiveX-Control und Phishing.
8. Verletzung von Geschäfts- und Betriebsgeheimnissen
§ 122 StGB sowie § 11 UWG stellt die Verletzung von Geschäfts- und Betriebsgeheimnissen
und die Betriebsspionage unter Strafe. Mitarbeiter machen sich strafbar, wenn sie unbefugt
Geschäfts- und Betriebsgeheimnisse an Dritte weitergeben. Ebenso macht sich strafbar, wer
VII. Missbrauch von IT-Infrastruktur und Datendiebstahl
41
sich zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder um den
Inhaber des Unternehmens zu schädigen, ein Geschäfts- oder Betriebsgeheimnis durch
Anwendung technischer Mittel verschafft. Darunter fällt insbesondere das „Anzapfen“ von
EDV-Anlagen und Datenfernleitungen.
9. Datenschutzdelikte
Verstöße gegen das Datenschutzrecht können gemäß §§ 51, 52 DSG eine Freiheitsstrafe bis
zu einem Jahr oder eine Geldstrafe nach sich ziehen. Dazu zählt beispielsweise die unbefugte
Erhebung, Verarbeitung, der Abruf oder die Erschleichung der Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, in Bereicherungs- oder Schädigungsabsicht.
Das Ausspähen von Daten und der Angriff auf die IT-Infrastruktur von Unternehmen können
nach diversen Vorschriften strafbar sein (siehe Kapitel VI. 1- 6). Sofern ein Unternehmen von
eigenen Mitarbeitern geschädigt wird, kann es mit arbeitsrechtlichen Maßnahmen (Abmahnung, Entlassung), Schadensersatzansprüchen und gegebenenfalls einer Strafanzeige reagieren. Sollte ein Mitarbeiter das IT-System seines Arbeitgebers zur Durchführung solcher
strafbaren Handlungen benutzen und so Dritte schädigen, kann das Unternehmen hierfür
gegebenenfalls nach dem Verbandsverantwortlichkeitsgesetz oder zivilrechtlich haftbar
gemacht werden, falls es nicht ausreichende Sicherheitsvorkehrungen gegen einen solchen
Missbrauch getroffen hat. Eine strafbare Verantwortlichkeit der Geschäftsführung für strafbare Handlungen eines Mitarbeiters, die dieser „privat“ begangen hat, scheidet in aller Regel
mangels Vorsatz aus.
42
VII. Missbrauch von IT-Infrastruktur und Datendiebstahl
43
44
VIII. Elektronischer Geschäftsverkehr
Sofern Unternehmen unter Einsatz von E-Mail und Internet am Geschäftsverkehr teilnehmen,
sollten sie sich darüber im klaren sein, dass sie dadurch in gleicher Weise rechtlich gebunden
werden, wie bei anderen Rechtsgeschäften. Im Bereich des E-Commerce sind zahlreiche rechtliche Anforderungen und Bestimmungen zu beachten. Diese können im Rahmen dieses Leitfadens nur kurz skizziert werden und sind von Fall zu Fall eingehend rechtlich zu überprüfen.
1. Vertragsabschluss über das Internet
Auch über E-Mail oder Internetseiten können rechtswirksame Verträge geschlossen werden,
sofern der Vertrag keiner besonderen Formvorschrift unterliegt.
Der Austausch von E-Mails hinsichtlich Angebot und Annahme eines Kaufvertrages ist
ebenso bindend, wie die Übersendung eines unterschriebenen Vertrages als PDF-Datei statt
per Telefax. Auch die Bestellung von Waren, der Software-Download über einen Online-Shop
oder der Zuschlag bei einem Internet-Auktionsverfahren führt zu einem wirksamen
Vertragsschluss.
2. Zugangs- und Beweisregelungen
Grundsätzlich gilt, dass die Person, die sich auf die Wirksamkeit einer empfangsbedürftigen
Willenserklärung beruft, deren Zugang beweisen muss. So lässt sich z.B. ein ZeitschriftenAbonnement – sofern vertraglich nichts anderes vereinbart ist – per E-Mail kündigen.
Allerdings muss der Absender der E-Mail, hier der Kündigende, deren Zugang nachweisen,
sofern der Empfänger bestreitet, die E-Mail erhalten zu haben. Kann er dies nicht, ist die
Kündigung unwirksam. Im Normalfall kann er diesen Beweis nicht erbringen. Eine Lesebetätigung des Empfängers kann unter Umständen einen Anscheinsbeweis für deren
Zugang begründen. Im Zweifelsfalle sollte der Absender einer Erklärung sich also deren
Zugang per E-Mail bestätigen lassen.
3. Elektronische Signatur
Beim Austausch von E-Mails im Internet besteht die Gefahr, dass diese entweder nicht von
der Person stammen, die sich als Absender ausgibt, oder diese E-Mails von unbefugten
Dritten verändert worden sind. Um die Integrität und Authentizität im elektronischen
Geschäftsverkehr sicherzustellen, also um einer Verfälschung des Inhalts vorzubeugen
und um den Sender der E-Mail eindeutig identifizieren zu können, wurde das elektronische
Signaturverfahren eingeführt. Eine elektronische Signatur ist ein mit einem geheimen
VIII. Elektronischer Geschäftsverkehr
45
Schlüssel erzeugtes elektronisches Dokument. Dieses hat eine kryptographische Prüfsumme,
die mit dem öffentlichen Schlüssel des Urhebers überprüft werden kann. Die elektronische
Signatur ist im sog. Signaturgesetz (SigG) sowie der Signaturverordnung (SiGV) näher geregelt. Man unterscheidet zwischen der „einfachen“ und der „sicheren“ elektronischen Signatur.
Nur die Verwendung der sicheren elektronischen Signatur gemäß § 4 Signaturgesetz erfüllt
die sog. „elektronische Form“, die gemäß § 886 ABGB der Schriftform gleichsteht. Allerdings
ist zu berücksichtigen, dass einige Vorschriften weiterhin ausdrücklich die Schriftform erfordern und die elektronische Form explizit ausschließen.
Ein Beispiel ist die Bürgschaftserklärung, die in Schriftform erfolgen muss. So bedarf die
Bürgschaftserklärung eines Unternehmens nach dem UGB ebenfalls der Schriftform.
Werden in einem Gerichtsverfahren private elektronische Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, vorgelegt, haben sie die gleiche Beweiskraft
wie private Urkunden.
4. Anforderungen an den elektronischen Geschäftsverkehr
Unternehmen, die ihre Waren oder Dienstleistungen über den elektronischen Weg bzw. das
Internet anbieten, unterliegen zahlreichen rechtlichen Anforderungen. Gemäß § 5 E-CommerceGesetz (ECG) müssen sie über ihren Namen/ihre Firma, ihre Anschrift, ihre Firmenbuchnummer (sofern vorhanden ist) und das Firmenbuchgericht, ihre Umsatzsteueridentifikationsnummer oder Wirtschafts-Identifikationsnummer sowie über Möglichkeiten für eine
schnelle elektronische Kontaktaufnahme informieren. Ferner sind sie dazu verpflichtet, technische Mittel zur Verfügung zu stellen, mit deren Hilfe der Kunde Eingabefehler vor Abgabe
seiner Bestellung erkennen und berichtigen kann. Der Zugang einer Bestellung ist dem Kunden unverzüglich auf elektronischem Wege zu bestätigen. Des Weiteren muss es dem Kunden möglich sein, die Vertragsbestimmungen einschließlich der Allgemeinen Geschäftsbedingungen bei Vertragsschluss abzurufen und in wiedergabefähiger Form zu speichern.
Sofern ein Unternehmen seine Waren oder Dienstleistungen gegenüber Verbrauchern unter
ausschließlicher Verwendung eines oder mehrerer Fernkommunikationsmittel, also zB dem
Internet, Telefon oder Katalogen anbietet, bestehen nach Fernabsatzgesetz (FernAG) und
Konsumentenschutzgesetz (KSchG) zusätzlich umfassende Informationspflichten. Zudem
hat der Verbraucher ein Rücktrittsrecht. Demzufolge kann der Verbraucher den Vertrag
ohne Angaben von Gründen gegenüber dem Unternehmen innerhalb von sieben Werktagen
oder – falls die Rücktrittsbelehrung in Schriftform bzw auf einem dauerhaften Datenträger
erst nach Vertragsschluss erfolgt – drei Monaten ab Erhalt der Ware bzw. Erbringung einer
Dienstleistung ab Vertragsschluss zurücktreten.
46
VIII. Elektronischer Geschäftsverkehr
5. „Button-Lösung“
Ende August 2011 hat die deutsche Bundesregierung einen Gesetzesentwurf für die sogenannte „Button-Lösung“ im Online-Handel vorgelegt. Das „Gesetz zum besseren Schutz der
Verbraucherinnen und Verbraucher vor Kostenfallen im elektronischen Geschäftsverkehr“
sieht die Einführung eines neuen § 312g Absätze 2-4 BGB vor. Danach soll ein Vertrag im
elektronischen Geschäftsverkehr nur wirksam werden, wenn der Verbraucher vor Abgabe
seiner Bestellung vom Unternehmer durch einen hervorgehobenen und deutlich gestalteten
Hinweis über die Gesamtkosten informiert worden ist und der Verbraucher diesen Hinweis
durch eine gesonderte Erklärung bestätigt hat, bevor er die Bestellung aufgibt. Am 15. Dezember 2011 hat der Bundestag den von der Bundesregierung eingebrachten Gesetzesentwurf in
erster Lesung beraten und in die Ausschüsse überwiesen. Wann das Gesetz in Kraft tritt, ist
noch nicht abzusehen, doch wenn es in Kraft tritt, werden viele Internet-Shops ihre Bestellmaske anpassen müssen.
Diese Bestimmungen sind auch von österreichischen Unternehmern einzuhalten, die an
deutsche Verbraucher liefern. Da diese Gesetzgebung auf einer EU-Richtlinie basiert, wird
auch der österreichische Gesetzgeber bis 13. Juni 2013 einen Umsetzungsvorschlag präsentieren muss. Die grundsätzliche Informationspflicht des Unternehmens besteht nach KSchG
allerdings schon jetzt.
6. Unternehmensangaben auf geschäftlichen E-Mails
Seit 1. Januar 2007 sind alle protokollierten Unternehmen, also Einzelunternehmer, OG, KG,
Genossenschaft, AG, GmbH sowie die Europäische Genossenschaft (SCE) und die Europäische Gesellschaft (SE) nach § 14 UGB verpflichtet die bisher auf den Geschäftsbriefen
gemachten Angaben auch in ihre E-Mail-Signatur zu übernehmen, die jeder ausgehenden
E-Mail automatisch angefügt wird. Solche Pflichtangaben umfassen insbesondere Firma,
Rechtsform und Sitz der Gesellschaft, Firmenbuchnummer und -gericht.
VIII. Elektronischer Geschäftsverkehr
47
IX. Elektronische Rechnungsstellung
Durch Electronic Invoicing, also die elektronische Rechnungsstellung für Warenlieferungen
oder sonstige Leistungen, bietet sich Unternehmen ein erhebliches Kosteneinsparungspotential, meist sogar eine zusätzliche Prozessoptimierung. Ein Unternehmen – insbesondere
wenn es digitale Güter wie Software oder elektronische Dienstleistungen wie Service
Providing oder Remote-Pflege anbietet – kann einen Medienbruch vermeiden, wenn es die
Rechnungen für seine Leistungen ebenfalls elektronisch statt auf dem Postwege versendet.
Solche Rechnungen können direkt aus dem Warenwirtschaftssystem erstellt und versendet
werden und sparen somit Personal- und Portokosten ein.
Damit jedoch der Kunde den ausgewiesenen Umsatzsteuerbetrag auch als Vorsteuer verrechnen kann, ist die Vorlage einer ordnungsgemäßen Rechnung erforderlich. Das leistende
Unternehmen ist dazu gesetzlich verpflichtet. Neben der Rechnungsversendung per Post,
Telefax oder über das EDI-Verfahren, besteht gesetzlich auch die Möglichkeit der Versendung
einer elektronischen Rechnung. Dabei handelt es sich um eine elektronische Datei, etwa im
PDF-Format, die per E-Mail übermittelt wird.
Damit die Finanzverwaltung eine solche elektronische Rechnung anerkennt, ist u. a. erforderlich, die Echtheit der Rechnungsherkunft und die Unversehrtheit des Rechnungsinhalts zu
gewährleisten. Wird die Rechnung in Österreich erstellt, ist der Einsatz einer fortgeschrittenen oder einer sicheren elektronischen Signatur erforderlich, die den Vorgaben des
Signaturgesetzes entsprechen muss. Die elektronischen Rechnungen inklusive elektronische
Signatur sind für die Dauer von sieben Jahren aufzubewahren (z.B. auf CD oder DVD). Der
Ausdruck auf Papier reicht nicht aus. Zusätzlich muss der Rechnungsempfänger der elektronischen Übermittlung zugestimmt haben, was auch durch stillschweigende Annahme der
elektronischen Rechnung zum Ausdruck gebracht werden kann.
Wenn nicht sichergestellt ist, dass die gesetzlichen Anforderungen an die elektronische
Rechnungsstellung, wie sie insbesondere im Umsatzsteuergesetz und dem Signaturgesetz
geregelt sind, eingehalten werden, besteht die Gefahr, dass die Finanzverwaltung solche
Rechnungen nicht anerkennt und daher der Vorsteuerabzug verloren geht.
Ab 2013 müssen nach einer EU-Richtlinie die Papier- und die elektronische Rechnung gleich
behandelt werden. In Deutschland ist dazu bereits ein Steuervereinfachungsgesetz 2011 in
Kraft, welches die Übermittlung der E-Rechnung vereinfacht.
48
IX. Elektronische Rechnungsstellung
Juristische Informationen für
die Unternehmensleitung.
Juristische Informationen für
die Unternehmensleitung.
RA Günter Untucht | Associate General Counsel & Director of EMEA Legal
Günter Untucht sammelte Berufserfahrung als selbstständiger Rechtsanwalt,
Syndikus und Geschäftsführer: Er arbeitete 10 Jahre als internationaler Justiziar
in der Pharmaindustrie (bei Gödecke, Warner-Lambert/Parke-Davis, nun: Pfizer) –
auch in Industrieverbänden – und ist inzwischen seit 22 Jahren in der IT-Industrie
engagiert – seit 6 Jahren bei Trend Micro, davor bei BearingPoint (KPMG Consulting), Global Knowledge, Compaq Computer und Tandem Computers – und war
stets mit Führungsaufgaben auf EMEA-Ebene und globalen Funktionen betraut.
Rechtsanwältin Dr. Bettina Windisch-Altieri, Windisch Law Offices, Wien
Dr. Bettina Windisch-Altieri ist seit 1999 österreichische Rechtsanwältin.
Ihr Studium absolvierte sie an der Universität Wien (Dr. iur.) sowie an der
Universität Madrid Complutense. Während ihrer Berufsausbildung war sie bei
Schönherr Rechtsanwälte/Wien tätig. Als Partnerin und Sozia arbeite sie für
namhafte Kanzleien wie Wolf Theiss Rechtsanwälte/Wien und Haarmann
Hügel Rechtsanwälte/Wien. 2004 gründete Dr. Bettina Windisch-Altieri ihre
eigene Kanzlei, die sie seit 2007 unter dem Namen Windisch Law Offices führt.
Dr. Bettina Windisch-Altieri
ist als Anwältin spezialisiert im Bereich des
Hotline für Endanwender:
Unternehmensrechts sowie Telekom- und
DE: 0800 / 330 4533
IT-Rechts tätig.
Kostenfrei aus dem deutschen Festnetz.
Stand: Juni 2012 – 3. Auflage – Version 3.0
AT: 0800 / 880 903
Kostenfrei aus dem österreichischen Festnetz.
CH: 0800 / 330 453
Kostenfrei aus dem Schweizer Festnetz.
Hotline für Fachhandelspartner:
DE: 01805 / 01 08 73
14 Cent/Minute aus dem deutschen Festnetz.
Bei Anrufen aus dem deutschen Mobilfunknetz abweichende Preise von höchstens 42 Cent/Minute.
[email protected]
AT: 0820 / 40 11 47
11,6 Cent/Minute aus dem österreichischen Festnetz.
Abweichungen für Anrufe aus dem Mobilfunknetz möglich.
Internet und
IT-Security im
Unternehmen
[email protected]
CH: 0842 / 01 08 73
Trend Micro Deutschland GmbH
11 Rappen/Minute aus dem Schweizer Festnetz.
Abweichungen für Anrufe aus dem Mobilfunknetz möglich.
Zeppelinstraße 1 • 85399 Hallbergmoos
[email protected]
Tel.: +49 (0) 811 / 88 99 0 - 700
Fax: +49 (0) 811 / 88 99 0 - 799
www.trendmicro.com
Trend Micro Deutschland GmbH, Zeppelinstraße 1, 85399 Hallbergmoos
© 2012 by Trend Micro. Alle Rechte vorbehalten. Zitate bei genauer Quellenangabe gestattet.
Trend Micro und das Trend Micro t-ball Logo sind Handelsmarken oder eingetragene Handelsmarken von Trend Micro.
3. Auflage | Juni 2012 | Verfasst für Österreich

Junior Sales IT

zum Schutz vor aktuellen Viren und Schadprogrammen

Fachinformatiker/ Wirtschaftsinformatiker (m/w) für IT

Praktikant/in in IT-Security Startup - Marketing/Sales und

Hält Ihre IT-Sicherheit, was sie verspricht?

Consultant IT-Sicherheit - IT

IT-Security Experte (m/w)

Agenda - Controlware

IT-Security Referent (m/w), Düsseldorf - stellenwerk